Virus polimórfico
| ||||
Un virus polimórfico (o también llamado código polimórfico o polimorfismo) es un virus que por medio de un motor polimórfico se muta a sí mismo mientras mantiene su algoritmo original intacto
Sumario
Virus polimórfico
Por definición, un virus polimórfico (o también llamado código polimórfico o polimorfismo) es un virus que por medio de un motor polimórfico se muta a sí mismo mientras mantiene su algoritmo original intacto, es decir, mantiene su funcionalidad prescrita intacta. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia. Muchos productos antivirus y sistemas de detección de intrusiones intentan localizar programas maliciosos mediante búsquedas en los archivos de la computadora y en los paquetes enviados a través de una red informática. Si ese software encuentra patrones de código que coinciden con una amenaza conocida toman los pasos apropiados para neutralizar esa amenaza. Los algoritmos polimórficos dificultan la detección de ese código malicioso modificándolo constantemente. En la mayoría de casos los virus maliciosos que usan de técnicas de polimorfismo lo hacen conjuntamente con técnicas de cifrado, en esos casos el programador malicioso usa cifrado para evitar la detección de la mayor parte del código, y técnicas de polimorfismo para modificar la propia rutina de descifrado.
Transcripción de 3A23 Camuflaje: Mecanismos Polimórficos
Camuflaje
mecanismos Polimórficos Es una técnica para impedir que los virus puedan ser detectados, variando el método de encriptación de copia. Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus. Los virus polimórficos contienen mecanismos que les permiten cambiar de aspecto en cada infección. Adicionalmente puede cambiar o diseminar aleatoriamente secuencias de comandos que no se requieran para el funcionamiento del virus. Por lo tanto, estos virus pueden resultar en miles de millones de variaciones de un mismo virus. La utilización de las descripciones de virus tradicionales (también llamadas firmas), a menudo no es suficiente para detectar y eliminar con fiabilidad virus polimórficos codificados. Normalmente tienen que crearse programas especiales. Estos virus son también llamados "mutantes".
Método de infección
Los virus polimórficos trabajan de la siguiente manera: Se ocultan en un archivo y se cargan en memoria cuando el archivo infectado es ejecutado. Pero a diferencia de hacer una copia exacta de sí mismos cuando infectan otro archivo, modifican esa copia para verse diferente cada vez que infectan un nuevo archivo. El polimorfismo es otra de las capacidades de los virus biológicos aplicados a los virus informáticos. Famosos escritores de virus, como el búlgaro conocido con el alias de Dark Avenger, implementaron rutinas polimórficas en sus virus. El polimorfismo era logrado encriptado el código principal del virus con una clave no constante, usando conjuntos aleatorios de desencripción o usar código ejecutable cambiante con cada ejecución. Estas maneras de hacer código polimórfico son las más sencillas; sin embargo, existen técnicas sumamente elaboradas y exóticas. El polimorfismo no es más que la capacidad de hacer copias más o menos distintas del virus original. Esta técnica de programación tiene como objetivo hacer más difícil la detección de los virus, ya que los antivirus, a la fecha (finales de los 1980, principios de los 1990) buscaban patrones hexadecimales comunes para detectar a los virus; al encontrar a un virus polimórfico. 2 XOR 5 = 3 3 XOR 2 = 5. En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta. Otra forma también muy utilizada consiste en sumar un número fijo a cada byte del código vírico.
Fuentes
http://tecnoprimero1234.blogspot.com/p/que-es-un-virus-polimorfico.html http://www.vsantivirus.com
