Smittometoder som används av virus

För att undvika detektering av antivirusprogram, har det utvecklats ett flertal specialiserade och invecklade smittometoder som virus använder. Antivirus-programmen har tvingats anpassas till dessa nya smittometoder för att kunna detektera de för varje dag alltmer komplicerade och förbättrade virus som utvecklas.

Här presenteras några av de vanligaste smittometoder som virus använder.

Dölja (Stealth): detta är en teknik som används av virus i minnespermanenta filer. När ett virus smittar en fil är det nödvändigt att modifiera den smittade filen. Detta medför att man kan få reda på att ett virus angripit filen. För att undvika detta, kan ett resident virus kontrollera och stoppa alla operationer vars syfte är att erhålla information om virus och ge information om filen innan smittan skedde för att på detta sätt lura antivirusprogrammet.

Förbipassering (Tunneling): virus och antivirusprogram använder liknande metoder. Virus uppfångar alla operativsystemets filoperationer för att kunna smitta de filer som öppnas. Antivirusprogrammens permanenta skydd fångar emellertid också upp de filoperationer för att övervaka att de filer som man önskar öppna inte är smittade av virus. Genom tekniken med förbipassering eller tunneling, lyckas ett virus finna det som det permanenta skyddet fångat upp och direkt använda detta utan att det permanenta skyddet reagerar på det.

Autokryptering: virus har som främsta syfte att sprida sig. Antivirusprogram detekterar dem genom att söka efter en speciell sträng (kallas också signatur) som är likvärdig i alla kopior av ett specifikt virus. För att förhindra detta sätt för virussökning (som är det vanligaste sättet) har en del virus kapacitet att kryptera sig genom att förändra sig för var gång de angriper en fil. På detta sätt kopieras inte ett virus på exakt lika sätt vilket innebär att den traditionella metoden för att upptäcka virus inte fungerar. Emellertid är den rutin som används för kryptering alltid densamma och på detta baseras antivirusprogrammen för att lokalisera denna sorts virus.

Polymorfism: i detta fall krypteras inte endast ett virus på olika sätt varje gång utan rutinen för kryptering varierar också för varje gång. Detta betyder att det inte finns två kopior av samma virus som är likadana eftersom alla dess delar varierar. För att detektera denna sorts virus används simulationsteknik för dekryptering som gör att viruset “måste visa sig”.