Armored virus

«Бронированный» вирус — вид зловредов, который устроен так, чтобы максимально усложнить свое обнаружение, в том числе путем наращивания объема кода (т.е. «брони»). При этом вредоносный функционал такого вируса может быть примитивным. Разновидность armored ПО — полиморфный вирус.

Аудит информационной безопасности

Узнать больше

Основные усилия создателя бронированного вируса направлены на затруднение его анализа антивирусным ПО — с тем, чтобы код вируса не попал в сигнатурные базы. Большинство современных armored virus используют несколько технологий бронирования. В базовый набор входят:

обфускация, или запутывание кода: создание избыточного, часто не прописанного в языке, но рабочего кода, затрудняющего его анализ;
стелс-технология (stealth): вирус скрывает свое присутствие в ОС с помощью перехвата системных сообщений;
полиморфизм: способность вируса менять код «потомка» при каждом новом заражении с помощью шифрования.

Обфускация — основной признак бронированного вируса, подразумевающая в том числе наращивание размера программы. Так, например, один из первых подобных вирусов Whale («Кит»), появившийся в 1990-м, «весил» более 9 кБ. Для того времени это был один из самых тяжелых вирусов.

Одна из разновидностей armored virus — метаморфный вирус. Как и полиморфный, этот тип модифицирует свой код, но без помощи шифрования. Модификации могут быть в виде вставки в исходный код «мусорных» фрагментов, изменения базовых инструкций — кодов операций, замены целых блоков кода. Метаморфы также могут смешивать свой код с кодом зараженной программы — это называется «сплайсинг».

Источники заражения: вложения в электронных письмах и зараженные сайты.