安全新词汇:metamorphic malware

变形恶意软件(metamorphic malware)是能够在每次迭代中更改代码和签名形式的恶意软件。

简言之,流氓软件包含了加密的病毒(virus),该病毒有一个解密程序(VDR)和一个加密病毒体(EVB)。当爱感染的程序执行,VDR解密EVB,而病毒执行其想要的功能。在传播阶段,病毒重新加密并加载在另一个主机(host)应用上。每个副本产生一个新的密钥(key),但是病毒解密程序保持原样,这就是杀毒软件应该识别恶意程序的方法。

多态流氓软件(Polymorphic malware)添加额外的组件到加密代码——每次迭代中改变病毒加密程序的变体引擎,它运用插入垃圾代码、重新排序指令(instruction)并运用数学对照等混淆(obfuscation)技术。但是这一类流氓软件仍然容易被杀毒软件识别出来,因为加密病毒体维持原样。

变形恶意软件(metamorphic malware)将病毒突变带入了下一等级。它运用多多态恶意软件的变体引擎来改变病毒解密程序和加密病毒体。变体引擎拆卸代码并运用元语言呈现它,元语言描绘代码职能但忽视代码如何实现职能。最终的结果是新代码和原句法(syntax)没有相似处,但功能上相同。

变形恶意软件(metamorphic malware)对杀毒软件来说很难识别,但并不是不可能。变形软件的弱点是变体引擎为了解开代码需要分析它,而如果变体引擎可以分析代码,杀毒软件制造厂商也可以。为了防止变形恶意软件感染网络上的电脑,管理员应该运用多层方法来进行复合型威胁(blended threat)管理,包括:

定义明确且有效的一套安全策略(security policy)。

远程访问(Remote access)限制。

频繁更新杀毒软件(Antivirus software)。

服务器及终端用户级别的遵从(Compliance)监控。

网络及个人防火墙(firewall),同时关闭不用的服务端口。

服务器级别的邮件内容过滤(content filtering)及文件扫描。