Метаморфная малварь
Что такое Метаморфная малварь?
Метаморфная малварьВредоносное ПО, при каждом распространении полностью переписывающее собственный код, выдавая семантически эквивалентные, но структурно различные бинарники.
Метаморфная малварь идёт дальше полиморфизма: при каждом заражении она перекомпилирует или преобразует всю полезную нагрузку, а не только внешнюю зашифрованную оболочку. Движки применяют замену инструкций, переименование регистров, выравнивание потока управления, перестановку блоков кода и вставку «мёртвого» кода, поэтому два образца могут не иметь общих байтовых последовательностей, но вести себя одинаково. Это практически нейтрализует статическое сигнатурное обнаружение и вынуждает использовать динамический анализ, семантическое сходство, поведенческий EDR и эмуляционные сканеры. Из-за сложности метаморфные движки редко встречаются в массовой малвари, но появляются в исследованиях, продвинутых вирусах и отдельных целевых тулкитах.
● Примеры
- 01
W32/Simile (Etap) — исследовательский метаморфный вирус.
- 02
ZMist (Zmorph) от Z0mbie — ранняя демонстрация перестановки кода.
● Частые вопросы
Что такое Метаморфная малварь?
Вредоносное ПО, при каждом распространении полностью переписывающее собственный код, выдавая семантически эквивалентные, но структурно различные бинарники. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает Метаморфная малварь?
Вредоносное ПО, при каждом распространении полностью переписывающее собственный код, выдавая семантически эквивалентные, но структурно различные бинарники.
Как защититься от Метаморфная малварь?
Защита от Метаморфная малварь обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Метаморфная малварь?
Распространённые альтернативные названия: Самоперезаписывающаяся малварь, Code-morphing-малварь.