Código Polimórfica

El código polimórfico fue la primera técnica que plantea una amenaza grave para la detección de virus. Al igual que los virus de cifrado, un virus polimórfico infecta los archivos con una copia cifrada de la misma, que es decodificado por un módulo de descifrado. En el caso de los virus polimórficos, sin embargo, este módulo de descifrado también se modifica en cada infección. Un virus polimórfico bien escrito por lo tanto no tiene partes que se mantienen idénticas entre las infecciones, lo que es muy difícil de detectar directamente a través de firmas. El software antivirus puede detectar por descifrar el virus con un emulador, o por el análisis estadístico de patrones del cuerpo del virus encriptados. Para permitir que el código polimórfico, el virus tiene que tener un motor polimórfico (también llamado motor de mutación o el motor de mutación) en algún lugar de su cuerpo cifrado. Ver polimórfica código de detalles técnicos sobre cómo operan dichos motores.

Algunos virus utilizan código polimórfico de una manera que limita la tasa de mutación del virus de manera significativa. Por ejemplo, un virus puede ser programado para mutar sólo un poco más de tiempo, o puede ser programado para que se abstengan de mutación cuando infecta un archivo en un equipo que ya contiene copias del virus. La ventaja de utilizar este código polimórfico lento es que hace más difícil para los profesionales de antivirus para obtener muestras representativas del virus, porque los archivos de cebo que se infectan en una carrera típicamente contienen muestras idénticas o similares del virus. Esto hará que sea más probable que la detección por el escáner de virus no ser fiables, y que algunos casos del virus puede ser capaz de evitar la detección.

Free Web Hosting