Malware métamorphe

Le malware métamorphe va au-delà du polymorphisme en recompilant ou transformant l'intégralité de la charge utile — pas seulement une enveloppe chiffrée — à chaque nouvelle infection. Les moteurs appliquent substitution d'instructions, renommage de registres, aplatissement du flot de contrôle, transposition de code et insertion de code mort, si bien que deux échantillons infectés peuvent ne partager aucune séquence d'octets tout en se comportant à l'identique. La détection statique devient presque inutile et oblige à recourir à l'analyse dynamique, la similarité sémantique, l'EDR comportemental et les scanners par émulation. En raison de leur complexité, les moteurs métamorphes restent rares dans le malware grand public, mais apparaissent en recherche, dans des virus avancés et certains kits ciblés.