Qu'est-ce qu'un logiciel malveillant polymorphe ?

L'un des plus grands défis auxquels sont confrontés les développeurs de logiciels malveillants est de développer des fichiers qui ne sont pas détectés par les moteurs antivirus courants.

Les produits antivirus ont des bases de données de signatures de logiciels malveillants précédemment découverts. Chaque fois qu'un fichier s'avère correspondre, il est ensuite supprimé avant qu'il ne puisse causer des dommages.

Une solution populaire à ce problème est le polymorphisme qui consiste à apporter de petites modifications aux fichiers malveillants pour éviter la détection.

Alors, qu'est-ce qu'un malware polymorphe exactement et comment pouvez-vous en protéger votre ordinateur? Regardons.

Qu'est-ce que le polymorphisme?

Le terme « polymorphisme » a été initialement établi en biologie. Il est défini comme la condition de se produire sous plusieurs formes différentes.

C'est maintenant un concept important en informatique. Lorsque utilisé dans la programmation, cela signifie la fourniture d'une interface unique à plusieurs types différents.

Qu'est-ce qu'un logiciel malveillant polymorphe ?

Les logiciels malveillants polymorphes utilisent le concept de polymorphisme non pas à des fins d'efficacité mais plutôt dans le but d'échapper à la détection.

L'idée derrière les logiciels malveillants polymorphes est que si une souche particulière de logiciels malveillants est connue pour avoir certaines propriétés, les nouvelles versions de ce logiciel malveillant peuvent éviter la détection si de légères modifications sont apportées.

Cela permet aux fichiers malveillants sans fin, qui remplissent tous la même fonction, d'apparaître suffisamment uniques pour ne pas être reconnus comme des logiciels malveillants.

Les logiciels malveillants polymorphes ne sont pas un nouveau concept. On pense qu'il a été inventé dans les années 1980. Malgré ce fait, il est largement utilisé aujourd'hui et la plupart des souches de logiciels malveillants ont un comportement polymorphe.

La raison de sa popularité continue est simple: il reste efficace, même si les défenses contre les logiciels malveillants se sont améliorées. Tant que le logiciel antivirus continue de détecter les logiciels malveillants sur la base des signatures, le polymorphisme sera utilisé comme un déguisement.

Il n'est pas non plus limité à un type spécifique de malware. Du code polymorphe a été trouvé dans les chevaux de Troie, les rootkits, les ransomwares et les keyloggers.

Comment fonctionnent les logiciels malveillants polymorphes ?

Le code polymorphe est généralement utilisé pour produire un malware qui mute beaucoup plus rapidement que les moteurs antivirus ne peuvent l'identifier. Certains des exemples les plus rapides changent toutes les 15 à 20 secondes.

Cela signifie que peu importe le nombre de moteurs antivirus qui enregistrent un fichier particulier. Au moment où ils commencent à le bloquer, les nouveaux exemples du même fichier ne seront pas signalés.

Alors que les logiciels malveillants ordinaires seraient supprimés ou placés en quarantaine, les logiciels malveillants polymorphes sont plutôt autorisés à s'exécuter.

Si la personne utilisant l'ordinateur infecté ne reconnaît pas les signes d'infection par un logiciel malveillant, le logiciel malveillant sera autorisé à s'exécuter indéfiniment.

Les termes malware polymorphe et métamorphique sont souvent utilisés de manière interchangeable. En effet, ils utilisent tous deux la mutation pour éviter la détection par un antivirus basé sur les signatures.

Il existe cependant une différence importante entre les deux. Alors que polymorphic modifie une partie de son code à chaque copie, le malware métamorphique modifie tout son code. Cela rend les logiciels malveillants métaphoriques beaucoup plus efficaces.

Le hic, c'est qu'il est également beaucoup plus difficile à créer car il repose sur de nombreuses techniques de transformation différentes.

Qui est ciblé par les logiciels malveillants polymorphes ?

Les tentatives de piratage les plus sophistiquées sont généralement réservées aux entreprises et autres cibles de grande valeur.

Les logiciels malveillants polymorphes sont plus difficiles à développer que les logiciels malveillants traditionnels, mais leur lancement à grande échelle reste bon marché. Cela signifie que si les entreprises doivent être particulièrement inquiètes, les logiciels malveillants polymorphes sont utilisés pour cibler tous les utilisateurs d'ordinateurs.

À quoi sert le logiciel malveillant polymorphe ?

Du code polymorphe a été trouvé dans tous les types de logiciels malveillants. Cela signifie qu'il peut être utilisé pour:

• Ransomware qui crypte vos fichiers et demande une rançon en échange de leur retour.
• Des enregistreurs de frappe qui enregistrent vos frappes dans le but de voler vos mots de passe.
• Rootkits qui fournissent un accès à distance à votre ordinateur.
• Manipulation du navigateur qui redirige votre navigateur vers des sites Web malveillants.
• Adware qui ralentit votre ordinateur et fait la publicité de produits douteux.

Comment se protéger contre les logiciels malveillants polymorphes

Les logiciels malveillants polymorphes sont bien meilleurs pour éviter la détection antivirus. En dépit de ce fait, de nombreux produits antivirus le détectent toujours et même s'ils ne le font pas, il existe d'autres moyens de s'en protéger. Ci-dessous quelques exemples.

Utiliser un antivirus heuristique

L'antivirus heuristique utilise des signatures pour détecter les logiciels malveillants, mais au lieu de rechercher des fichiers qui correspondent à des échantillons de logiciels malveillants connus, il recherche des fichiers qui ont des composants similaires aux logiciels malveillants connus. Cela lui permet de reconnaître les fichiers malveillants même après que des modifications importantes aient été apportées à leur structure.

Utiliser un antivirus comportemental

Certains produits antivirus, mais pas tous, surveillent votre ordinateur et identifient les logiciels malveillants en surveillant le comportement des programmes. Par exemple, si un programme commence à enregistrer vos frappes, il s'agit probablement d'un enregistreur de frappe, qu'il ait ou non une signature de malware connue. Ce type d'antivirus identifiera généralement les logiciels malveillants polymorphes.

Gardez votre logiciel à jour

De nombreux types de logiciels malveillants sont conçus pour tirer parti des vulnérabilités connues des produits logiciels courants. Ces vulnérabilités peuvent être supprimées des programmes sur votre ordinateur en effectuant des mises à jour logicielles régulières. Cela signifie que si un malware polymorphe se trouve sur votre ordinateur, il ne pourra pas faire autant de dégâts.

Reconnaissez vous-même les logiciels malveillants

Indépendamment de la manière dont les logiciels malveillants sont développés, s'ils commencent à s'exécuter, votre ordinateur se comportera souvent de certaines manières. Par exemple, vous remarquerez peut-être que:

• Votre ordinateur est sensiblement plus lent.
• Vous voyez une augmentation soudaine de la publicité.
• Votre navigateur commence à vous envoyer vers des pages que vous n'avez pas demandées.
• Votre ordinateur commence à afficher des messages inhabituels.

Si vous remarquez que l'une de ces choses se produit sur votre ordinateur, vous devriez suspecter des logiciels malveillants et prendre des mesures pour le supprimer.

Utiliser Internet de manière responsable

Tous les logiciels malveillants, y compris les logiciels malveillants polymorphes, n'infectent un ordinateur que si la personne qui utilise cet ordinateur fait quelque chose de mal. Si vous vous inquiétez des logiciels malveillants polymorphes, le moyen le plus simple de les éviter est de faire attention aux sites Web que vous visitez, aux pièces jointes que vous ouvrez et aux fichiers que vous téléchargez.

Les logiciels malveillants polymorphes sont-ils un problème ?

Les logiciels malveillants polymorphes sont une menace permanente pour la cybersécurité. Même s'il n'y a rien de nouveau à ce sujet, cela reste une technique anti-détection populaire. Il est également peu probable que cela change à condition que le logiciel AV continue d'utiliser la détection basée sur les signatures.

Le moyen le plus simple de se protéger contre les logiciels malveillants polymorphes est d'utiliser un logiciel antivirus comportemental et d'utiliser Internet de manière responsable pour éviter qu'il ne soit téléchargé en premier lieu.

Qu'est-ce qu'un malware et comment ça marche ?

Les logiciels malveillants se multiplient. Apprenez comment cela fonctionne et comment vous pouvez éviter d'être infecté.

Lire la suite

A propos de l'auteur