Шифрование вирусов

Компьютерные вредоносные программы можно классифицировать в соответствии с их характеристиками несколькими способами, такими как классификация по цели или классификация по механизму заражения. Один из этих типов классификации основан на используемых методах сокрытия.
Шифрование – практически самый примитивный способ скрыть работу вирусного кода . Конечная цель зашифрованных вирусов – изменение двоичных кодов тела вируса с помощью некоторых алгоритмов шифрования, чтобы скрыть его от простого представления и затруднить анализ и обнаружение . Первый вирус-шифровальщик CASCADE появился в 1988 г. . Обычно зашифрованные вирусы состоят из двух основных частей: зашифрованного тела вируса и небольшого фрагмента кода дешифрования . Когда зараженный программный код запускается, сначала выполняется цикл дешифрования, который расшифровывает основную часть вируса. Затем он передает управление телу вируса. В некоторых вирусах цикл дешифрования выполняет нечто большее, помимо своей основной задачи. Например, он может вычислить контрольную сумму, чтобы убедиться, что код вируса не подделан, но в качестве общего принципа дешифратор должен быть как можно меньше, чтобы избежать антивирусного программного обеспечения, которое пытается использовать цикл дешифратора. шаблон строки для сканирования. Шифрование скрывает тело вируса от тех, кто любит просматривать его код или подделывать зараженные файлы с помощью программ просмотра кода или шестнадцатеричных редакторов . Однако программисты вирусов по некоторым причинам используют шифрование. Скуласон описывает четыре основных мотива:
1

. Чтобы избежать статического анализа кода: некоторые программы пытаются анализировать код автоматически и генерировать предупреждение при обнаружении подозрительного кода. Шифрование используется для маскировки подозрительных кодов и предотвращения статического анализа.
2. Чтобы отложить процесс проверки: это может сделать процесс анализа немного более сложным и трудоемким, однако обычно это может увеличить время процесса всего на несколько минут.
3. Для предотвращения подделки: многие новые варианты вируса могут быть созданы с незначительным изменением исходного кода вируса. Шифрование затрудняет изменение вируса для неспециалистов.
4. Чтобы избежать обнаружения: зашифрованный вирус не может быть обнаружен простым сопоставлением строк перед дешифровкой, потому что только цикл дешифратора имеет идентичную строку во всех вариантах. Следовательно, сигнатура зашифрованного вируса ограничена и должна быть выбрана точно.
Хотя создатели вирусов пытались скрыть первое поколение вирусов с помощью методов шифрования, циклы дешифратора постоянно оставались в новых зараженных файлах, поэтому антивирусное программное обеспечение обычно не имело проблем с таким вирусом, который был проверен и для которого была получена строка сигнатуры. Чтобы преодолеть эту уязвимость, разработчики вирусов использовали несколько методов для создания мутировавшего тела для дешифраторов. Эти усилия привели к изобретению нового типа маскирующихся вирусов, названных олигоморфными. Олигоморфные вирусы способны заменить код дешифратора на новое потомство