變形惡意軟體(metamorphic malware)是能夠在每次疊代中更改代碼和簽名形式的惡意軟體。簡言之,流氓軟體包含了加密的病毒,該病毒有一個解密程式和一個加密病毒體。
基本介紹
- 中文名:變形惡意軟體
- 外文名:metamorphic malware
變形惡意軟體(metamorphic malware)是能夠在每次疊代中更改代碼和簽名形式的惡意軟體。
簡言之,流氓軟體包含了加密的病毒(virus),該病毒有一個解密程式(VDR)和一個加密病毒體(EVB)。當愛感染的程式執行,VDR解密EVB,而病毒執行其想要的功能。在傳播階段,病毒重新加密並載入在另一個主機(host)套用上。每個副本產生一個新的密鑰(key),但是病毒解密程式保持原樣,這就是防毒軟體應該識別惡意程式的方法。
多態流氓軟體(Polymorphic malware)添加額外的組件到加密代碼——每次疊代中改變病毒加密程式的變體引擎,它運用插入垃圾代碼、重新排序指令(instruction)並運用數學對照等混淆(obfuscation)技術。但是這一類流氓軟體仍然容易被防毒軟體識別出來,因為加密病毒體維持原樣。
變形惡意軟體(metamorphic malware)將病毒突變帶入了下一等級。它運用多多態惡意軟體的變體引擎來改變病毒解密程式和加密病毒體。變體引擎拆卸代碼並運用元語言呈現它,元語言描繪代碼職能但忽視代碼如何實現職能。最終的結果是新代碼和原句法(syntax)沒有相似處,但功能上相同。
變形惡意軟體(metamorphic malware)對防毒軟體來說很難識別,但並不是不可能。變形軟體的弱點是變體引擎為了解開代碼需要分析它,而如果變體引擎可以分析代碼,防毒軟體製造廠商也可以。為了防止變形惡意軟體感染網路上的電腦,管理員應該運用多層方法來進行複合型威脅(blended threat)管理,包括:
- 定義明確且有效的一套安全策略(security policy)。
- 遠程訪問(Remote access)限制。
- 頻繁更新防毒軟體(Antivirus software)。
- 伺服器及終端用戶級別的遵從(Compliance)監控。
- 網路及個人防火牆(firewall),同時關閉不用的服務連線埠。
- 伺服器級別的郵件內容過濾(content filtering)及檔案掃描。