Metamorphe und polymorphe Malware
Metamorphe und polymorphe Malware sind zwei besonders gefährliche Arten von schädlicher Software (Malware), die bei ihrer Weiterverbreitung ihren Code ändern können, um so schwerer entdeckt zu werden.
Metamorphe Malware ändert sich bei jeder neuen Generation so stark, dass sich jede folgende Version von den vorherigen komplett unterscheidet. Die Änderungen am Code sorgen dafür, dass Signatur-basierte Antivirenprogramme große Schwierigkeiten dabei haben, die verschiedenen Versionen als ein und dasselbe Schadprogramm zu erkennen.
Trotz der permanenten Änderungen am Code funktioniert jede neue Version einer metamorphen Malware auf dieselbe Weise. Je länger ein Schädling auf einem Computer verbleibt, desto mehr Varianten von sich selbst stellt er her und desto weiter entwickelter werden sie. Das macht es Antiviren-Software sehr schwer, die Malware zu erkennen, in Quarantäne zu verbannen und zu entfernen.
Polymorphe Malware nimmt ebenfalls Änderungen am eigenen Code vor. In der Regel besteht sie jedoch aus zwei Teilen, von denen nur ein Teil geändert wird. Das macht es etwas leichter, diese Art von Schädlingen zu bekämpfen.
Zum Beispiel kann ein polymorpher Virus aus einer Entschlüsselungsroutine (Virus Decryption Routine, VDR) sowie dem verschlüsselten eigentlichen Virus (Encrypted Virus Programm Body, EVB) bestehen.
Wenn eine mit diesem Schädling infizierte Anwendung startet, entschlüsselt die VDR den eigentlichen Virus zurück zu seiner ursprünglichen Form, so dass dieser nun seine vorgesehene Aufgabe erfüllen kann. Nachdem er ausgeführt wurde, wird der Virus wieder verschlüsselt und an eine andere, verwundbare Anwendung angehängt. Weil dabei der eigentliche Virus nicht verändert wird, existiert eine komplexe Signatur, die zu seiner Erkennung durch moderne Antiviren-Software verwendet werden kann.
Es ist auch möglich, dass mit jeder neuen Version ein neuer Verschlüsselungs-Key erstellt wird, der dazu verwendet wird, den eigentlichen Virus zu verschlüsseln. Dadurch ändert sich das Aussehen des Schädlings, während die Entschlüsselungsroutine gleich bleibt. Egal in welchem Szenario, es ist der statische Teil des Codes, der es einem Antivirus-Programm erleichtert, die Anwesenheit eines Schädlings zu erkennen.
Metamorphe Malware gilt als schwerer zu entwickeln als polymorphe Viren. Die Autoren können dabei auf verschiedene Techniken zurückgreifen, wie Register Renaming, Code Permutation, Code Shrinking und Garbage Code Insertion. Oft wird mehr als nur eine dieser Methoden verwendet. Auf der anderen Seite müssen auch Antivirenhersteller fortgeschrittene Techniken wie Generic Decryption Scanning, negative heuristische Analysen, Emulation und Virtualisierung verwenden, um diese Art von Malware zu identifizieren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!