Una delle maggiori sfide che gli sviluppatori di malware devono affrontare è lo sviluppo di file che non vengono rilevati dai più diffusi motori antivirus.
I prodotti antivirus dispongono di database di firme malware scoperte in precedenza. Ogni volta che un file trova una corrispondenza, viene eliminato prima che possa causare danni.
Una soluzione popolare a questo problema è il polimorfismo che comporta l'esecuzione di piccole modifiche ai file malware per evitare il rilevamento.
Quindi, cos'è esattamente il malware polimorfico e come puoi proteggere il tuo computer da esso? Diamo un'occhiata.
Che cos'è il polimorfismo?
Il termine "polimorfismo" è stato originariamente stabilito in biologia. È definita come la condizione che si verifica in diverse forme.
Ora è un concetto importante nell'informatica. quando utilizzato nella programmazione, significa la fornitura di un'unica interfaccia a più tipologie diverse.
Che cos'è il malware polimorfico?
Il malware polimorfico utilizza il concetto di polimorfismo non per l'efficienza, ma piuttosto allo scopo di eludere il rilevamento.
L'idea alla base del malware polimorfico è che se un particolare ceppo di malware è noto per avere determinate proprietà, le nuove versioni di quel malware possono evitare il rilevamento se vengono apportate lievi modifiche.
Ciò consente a infiniti file malware, che svolgono tutti la stessa funzione, di apparire sufficientemente unici da non essere riconosciuti come malware.
Il malware polimorfico non è un concetto nuovo. Si pensa che sia stato inventato negli anni '80. Nonostante questo, oggi è molto utilizzato e la maggior parte dei ceppi di malware ha un comportamento polimorfico.
Il motivo della sua continua popolarità è semplice: rimane efficace, anche se le difese contro il malware sono migliorate. Finché il software antivirus continuerà a rilevare il malware in base alle firme, il polimorfismo verrà utilizzato come travestimento.
Inoltre, non è limitato a un tipo specifico di malware. È stato trovato codice polimorfico in trojan, rootkit, ransomware e keylogger.
Come funziona il malware polimorfico?
Il codice polimorfico viene in genere utilizzato per produrre malware che muta molto più velocemente di quanto i motori antivirus possano identificarlo. Alcuni degli esempi più veloci cambiano ogni 15-20 secondi.
Ciò significa che non importa quanti motori antivirus registrano un determinato file. Quando iniziano a bloccarlo, i nuovi esempi dello stesso file non verranno contrassegnati.
Mentre il malware normale verrebbe eliminato o spostato in quarantena, il malware polimorfico può invece essere eseguito.
Se la persona che utilizza il computer infetto non riconosce i segni dell'infezione da malware, il malware potrà essere eseguito a tempo indeterminato.
I termini malware polimorfico e metamorfico sono spesso usati in modo intercambiabile. Questo perché entrambi utilizzano la mutazione per evitare il rilevamento da parte di antivirus basati su firme.
C'è, tuttavia, una differenza importante tra i due. Mentre il malware polimorfico cambia parte del suo codice ogni volta che viene copiato, il malware metamorfico cambia tutto il suo codice. Questo rende il malware metaforico molto più efficace.
Il problema è che è anche molto più difficile da creare poiché si basa su così tante diverse tecniche di trasformazione.
Chi è preso di mira dai malware polimorfici?
I tentativi di hacking più sofisticati sono in genere riservati alle aziende e ad altri obiettivi di alto valore.
Il malware polimorfico è più difficile da sviluppare rispetto al malware tradizionale, ma è comunque economico da lanciare su larga scala. Ciò significa che mentre le aziende dovrebbero essere particolarmente preoccupate, il malware polimorfico viene utilizzato per colpire tutti gli utenti di computer.
Cosa fa il malware polimorfico?
Il codice polimorfico è stato trovato in tutti i tipi di malware. Ciò significa che può essere utilizzato per:
- Ransomware che crittografa i tuoi file e chiede il pagamento di un riscatto in cambio della loro restituzione.
- Keylogger che registrano le tue sequenze di tasti allo scopo di rubare le tue password.
- Rootkit che forniscono l'accesso remoto al computer.
- Manipolazione del browser che reindirizza il browser a siti Web dannosi.
- Adware che rallenta il computer e pubblicizza prodotti discutibili.
Come proteggersi dai malware polimorfici
Il malware polimorfico è significativamente migliore nell'evitare il rilevamento antivirus. Nonostante questo fatto, molti prodotti antivirus lo rilevano ancora e, anche se non lo fanno, ci sono altri modi per proteggersi. Di seguito sono riportati alcuni esempi.
Usa antivirus euristico
L'antivirus euristico utilizza le firme per rilevare il malware, ma invece di cercare file che corrispondono a campioni di malware noti, cerca file con componenti simili al malware noto. Ciò consente di riconoscere i file malware anche dopo che sono state apportate modifiche significative alla loro struttura.
Usa antivirus comportamentale
Alcuni prodotti antivirus, ma non tutti, monitorano il tuo computer e identificano il malware osservando il comportamento dei programmi. Ad esempio, se un programma inizia a registrare i tasti premuti, probabilmente si tratta di un keylogger indipendentemente dal fatto che disponga o meno di una firma malware nota. Questo tipo di antivirus di solito identificherà il malware polimorfico.
Mantieni aggiornato il tuo software
Molti tipi di malware sono progettati per sfruttare le vulnerabilità note nei prodotti software più diffusi. Queste vulnerabilità possono essere rimosse dai programmi sul tuo computer eseguendo regolari aggiornamenti del software. Ciò significa che se sul tuo computer è presente malware polimorfico, non sarà in grado di fare altrettanto danno.
Riconosci tu stesso il malware
Indipendentemente da come viene sviluppato il malware, se inizia a funzionare, spesso farà sì che il tuo computer si comporti in determinati modi. Ad esempio, potresti notare che:
- Il tuo computer è notevolmente più lento.
- Vedete un improvviso aumento della pubblicità.
- Il tuo browser inizia a inviarti a pagine che non hai richiesto.
- Il computer inizia a visualizzare messaggi insoliti.
Se noti una di queste cose che accade sul tuo computer, dovresti sospettare malware e prendere provvedimenti per rimuoverlo.
Usa Internet in modo responsabile
Tutti i malware, inclusi i malware polimorfici, infettano un computer solo se la persona che lo utilizza fa qualcosa di sbagliato. Se sei preoccupato per il malware polimorfico, il modo più semplice per prevenirlo è fare attenzione a quali siti web visiti, agli allegati di posta elettronica che apri e ai file che scarichi.
Il malware polimorfico è un problema?
Il malware polimorfico è una minaccia continua alla sicurezza informatica. Anche se non c'è nulla di nuovo, rimane una popolare tecnica anti-rilevamento. È improbabile che anche questo cambi a condizione che il software AV continui a utilizzare il rilevamento basato sulla firma.
Il modo più semplice per proteggersi dal malware polimorfico è utilizzare un software antivirus comportamentale e utilizzare Internet in modo responsabile per impedirne il download.
Il malware sta dilagando. Scopri come funziona e come puoi evitare di essere infettato.
Leggi Avanti
- Sicurezza
- Malware
- Sicurezza
- Sicurezza online
Elliot è uno scrittore di tecnologia freelance. Scrive principalmente di fintech e sicurezza informatica.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per consigli tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti