Metamorphe Malware

Metamorphe Malware geht über Polymorphismus hinaus, indem sie die gesamte Nutzlast — nicht nur eine äußere Verschlüsselungshülle — bei jeder neuen Infektion neu kompiliert oder transformiert. Die Engines nutzen Befehlsersetzung, Register-Umbenennung, Control-Flow-Flattening, Codeumstellung und Dead-Code-Einfügung, sodass zwei Samples womöglich keine gemeinsame Byte-Folge besitzen und sich dennoch identisch verhalten. Statische Signaturen werden damit praktisch nutzlos; Verteidiger müssen auf dynamische Analyse, semantische Ähnlichkeit, verhaltensbasiertes EDR und Emulationsscanner setzen. Metamorphe Engines sind wegen ihrer Komplexität in Massen-Malware selten, kommen aber in Forschung, fortgeschrittenen Viren und einigen gezielten Toolkits vor.