Smittometoder som används av virus
För att undvika detektering av antivirusprogram, har det utvecklats ett
flertal specialiserade och invecklade smittometoder som virus använder.
Antivirus-programmen har tvingats anpassas till dessa nya smittometoder för att kunna
detektera de för varje dag alltmer komplicerade och förbättrade virus som utvecklas.
Här presenteras några av de vanligaste smittometoder som virus använder.
Dölja (Stealth): detta är en teknik som används av virus i minnespermanenta filer. När ett
virus smittar en fil är det nödvändigt att modifiera den smittade filen. Detta
medför att man kan få reda på att ett virus angripit filen. För att undvika detta,
kan ett resident virus kontrollera och stoppa alla operationer vars syfte är
att erhålla information om virus och ge information om filen innan smittan
skedde för att på detta sätt lura antivirusprogrammet.
Förbipassering (Tunneling): virus och antivirusprogram använder liknande metoder. Virus uppfångar alla
operativsystemets filoperationer för att kunna smitta de filer som öppnas.
Antivirusprogrammens permanenta skydd fångar emellertid också upp de filoperationer
för att övervaka att de filer som man önskar öppna inte är smittade av virus.
Genom tekniken med förbipassering eller tunneling, lyckas ett virus finna det som
det permanenta skyddet fångat upp och direkt använda detta utan att det
permanenta skyddet reagerar på det.
Autokryptering: virus har som främsta syfte att sprida sig. Antivirusprogram detekterar dem
genom att söka efter en speciell sträng (kallas också signatur) som är likvärdig
i alla kopior av ett specifikt virus. För att förhindra detta sätt för
virussökning (som är det vanligaste sättet) har en del virus kapacitet att kryptera
sig genom att förändra sig för var gång de angriper en fil. På detta sätt
kopieras inte ett virus på exakt lika sätt vilket innebär att den traditionella
metoden för att upptäcka virus inte fungerar. Emellertid är den rutin som används för
kryptering alltid densamma och på detta baseras antivirusprogrammen för att
lokalisera denna sorts virus.
Polymorfism: i detta fall krypteras inte endast ett virus på olika sätt varje gång utan
rutinen för kryptering varierar också för varje gång. Detta betyder att det inte
finns två kopior av samma virus som är likadana eftersom alla dess delar
varierar. För att detektera denna sorts virus används simulationsteknik för
dekryptering som gör att viruset “måste visa sig”.