Was ist ein polymorphes Virus? Erklärung und Vorbeugung

2023 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-05-26 18:41

Trotz aller Antivirenprogramme der Welt scheint sich das Ausmaß von Malware-Angriffen im Internet und von dort auf Ihren Computern nicht zu verlangsamen. Was macht manche Viren selbst von der besten Anti-Malware-Software nicht nachweisbar? Die zwei Dinge, die ich sehen kann, sind: ständig wechselnde polymorphe Viren und Unfähigkeit der Anbieter von Virenschutzprogrammen, eine solide Technologie für den Umgang mit dem unbekannten Virus zu entwickeln.

Was ist ein polymorpher Virus?

Ein polymorphes Virus ist ein Codeteil, das sich durch folgendes Verhalten auszeichnet: Verschlüsselung, Selbstvermehrung und Änderung einer oder mehrerer Komponenten, sodass es schwer fassbar bleibt. Es wurde entwickelt, um eine Erkennung zu vermeiden, da es modifizierte Kopien von sich selbst erstellen kann.

Bei einem polymorphen Virus handelt es sich somit um eine selbstverschlüsselte bösartige Software, die die Tendenz hat, sich auf mehrere Arten zu verändern, bevor sie auf demselben Computer oder in Computernetzwerken multipliziert wird. Da der polymorphe Virus seine Komponenten ordnungsgemäß ändert und verschlüsselt wird, kann dies von einer intelligenten Malware gesprochen werden, die schwer zu erkennen ist. Denn wenn Ihr Antivirus es entdeckt, hat sich der Virus bereits vervielfacht, nachdem Sie eine oder mehrere seiner Komponenten geändert haben (was sich in etwas anderes verwandelt).

Was zwischen normalem Virus und dem polymorphen Virus auffällt, ist, dass dieser seine Komponenten so ändert, dass sie vor dem Multiplizieren wie eine andere Software aussehen. Diese Morphing-Aktivität macht es schwer, erkannt zu werden.

Lesen: Welches war der erste Windows-Virus?

Polymorpher Virenschutz

Wir brauchen Antimalware der nächsten Generation … etwas, das von selbst denken kann. Vielleicht schlage ich eine Anti-Malware-Lösung vor, die auf künstlicher Intelligenz basiert. Ein wenig künstliche Intelligenz und eine Menge Studien werden dazu beitragen, dass diese Antimalware polymorphe Viren erkennt und entfernt.

Die aktuellen Antivirenformen arbeiten entweder auf der Blacklist- oder Whitelisting-Software. Wir haben bereits darüber gesprochen, wie sich diese Form des Virus vor der Vermehrung ändern kann. In diesem Szenario sind auf schwarzen Listen basierende Antivirenprogramme nicht sehr nützlich, da sie nur die Varianten erkennen können, die auf der schwarzen Liste stehen, während die veränderte Form des Virus weiterhin Dateien und andere Computer infiziert.

Whitelisting-basierte Antimalware sind besser, aber langwierig. Da Sie beim Whitelisting jedes Programm, das Sie auf Ihrem Computer ausführen möchten, auf die Whitelist setzen müssen, kann der polymorphe Virus nichts tun, da Sie ihn erst autorisieren, wenn er verwirrt ist. Die auf der Whitelist basierende Antimalware ist nicht für Benutzer des Anfänger-Levels gedacht, da sie alles autorisieren können, da sie befürchten, wichtige Betriebssystemdienste zu blockieren. Wenn Whitelisting jedoch ordnungsgemäß verwendet wird, kann diese Virusvariante nicht ausgeführt werden, da Sie sie niemals autorisiert haben, selbst wenn sie sich selbst verändert.

Meiner Meinung nach ist keine der beiden oben genannten Methoden gut genug. Es sollte etwas geben, das die Programme auf dem Computer untersucht und wie sie sich verhalten. Bei verdächtigen Aktivitäten sperrt das Programm diese automatisch oder informiert Sie zumindest darüber, dass etwas verdächtig ist. Sie können dann einen tieferen Blick darauf werfen, um zu sehen, ob es Teil eines von Ihnen installierten Programms oder einer unerwünschten Malware ist.

Es gibt einige verhaltensbasierte Anti-Malware-Software, aber sie untersuchen auch vordefiniertes Verhalten und suchen nach vorprogrammierten Aktivitäten. Sie können sie zusätzlich zum Whitelisting verwenden, um das polymorphe Virus zu verhindern.

Jetzt lesen Evolution von Malware - Wie alles begann!