Phần mềm độc hại đa hình (Polymorphic Malware) là gì?

 Một trong những thách thức lớn nhất mà phần mềm độc hại phải đối mặt là phát triển các tệp không bị phát hiện bởi các công cụ chống vi-rút phổ biến.

Các sản phẩm chống vi-rút có cơ sở dữ liệu về các chữ ký phần mềm độc hại đã được phát hiện trước đó. Bất cứ khi nào một tệp được tìm thấy là trùng khớp, tệp đó sẽ bị xóa trước khi có thể gây ra bất kỳ thiệt hại nào.

Ảnh: makeuseof

Một giải pháp phổ biến cho vấn đề này là tính đa hình liên quan đến việc thực hiện các thay đổi nhỏ đối với các tệp phần mềm độc hại để tránh bị phát hiện. Vậy, phần mềm độc hại đa hình chính xác là gì và bạn có thể bảo vệ máy tính của mình khỏi nó như thế nào? 

Đa hình là gì?

Thuật ngữ "đa hình" ban đầu được thiết lập trong sinh học. Nó được định nghĩa là điều kiện xảy ra ở một số hình thức khác nhau.

Bây giờ, nó là một khái niệm quan trọng trong khoa học máy tính. Khi được sử dụng trong lập trình, nó có nghĩa là cung cấp một giao diện duy nhất cho nhiều kiểu khác nhau.

Phần mềm độc hại đa hình là gì?

Phần mềm độc hại đa hình sử dụng khái niệm đa hình không phải vì hiệu quả mà là nhằm mục đích trốn tránh sự phát hiện.

Ý tưởng đằng sau phần mềm độc hại đa hình là nếu một loại phần mềm độc hại cụ thể được biết đến là có các thuộc tính nhất định, thì các phiên bản mới của phần mềm độc hại đó có thể tránh bị phát hiện nếu thực hiện các thay đổi nhỏ bên trong nó.

Điều này cho phép vô số tệp phần mềm độc hại, mà tất cả đều thực hiện cùng một chức năng,và không bị nhận dạng là phần mềm độc hại.

Phần mềm độc hại đa hình không phải là một khái niệm mới. Nó được cho là đã được phát minh vào những năm 1980. Mặc dù thực tế là vậy, ngày nay nó được sử dụng rất nhiều  \và hầu hết các chủng phần mềm độc hại đều có hành vi đa hình.

Lý do cho sự phổ biến tiếp tục của nó rất đơn giản là nó vẫn hiệu quả, mặc dù khả năng phòng thủ chống lại phần mềm độc hại đã được cải thiện. Miễn là phần mềm chống vi-rút tiếp tục phát hiện phần mềm độc hại dựa trên chữ ký, tính đa hình sẽ được sử dụng như một biện pháp ngụy trang.

Nó cũng không giới hạn ở một loại phần mềm độc hại cụ thể. Mã đa hình đã được tìm thấy trong trojan, rootkit, ransomware và keylogger.

Phần mềm độc hại đa hình hoạt động như thế nào?

Mã đa hình thường được sử dụng để tạo ra phần mềm độc hại đột biến nhanh hơn nhiều so với các công cụ chống vi-rút có thể xác định nó. Một số ví dụ nhanh nhất thay đổi sau mỗi 15-20 giây.

Điều này có nghĩa là có bao nhiêu công cụ chống vi-rút ghi lại một tệp cụ thể không quan trọng. Vào thời điểm các phần mềm virut bắt đầu chặn nó, các tệp mới của cùng một tệp sẽ được thay đổi và không bị phát hiện.

Mặc dù phần mềm độc hại thông thường sẽ bị xóa hoặc chuyển đến vùng cách ly, nhưng phần mềm độc hại đa hình lại được phép chạy.

Nếu người sử dụng máy tính bị nhiễm không nhận ra các dấu hiệu của việc lây nhiễm phần mềm độc hại, phần mềm độc hại sẽ được phép thăm nhập sau vào máy tính của bạn.

Phần mềm độc hại đa hình và biến chất: Sự khác biệt là gì?

Các thuật ngữ phần mềm độc hại đa hình và biến chất thường được sử dụng thay thế cho nhau. Điều này là do cả hai đều sử dụng đột biến để tránh bị phát hiện bởi phần mềm chống vi-rút dựa trên chữ ký.

Tuy nhiên, có một sự khác biệt quan trọng giữa hai điều này. Trong khi đa hình thay đổi một số mã của nó mỗi khi nó được sao chép, thì phần mềm độc hại biến chất sẽ thay đổi tất cả mã của nó. Điều này làm cho phần mềm độc hại hiệu quả hơn đáng kể.

Điểm nổi bật là nó cũng khó tạo hơn đáng kể vì nó dựa vào rất nhiều kỹ thuật biến đổi khác nhau.

Ai thường bị phần mềm độc hại đa hình nhắm mục tiêu?

Các nỗ lực tấn công tinh vi nhất thường dành cho các doanh nghiệp và các mục tiêu có giá trị cao .

Phần mềm độc hại đa hình khó phát triển hơn phần mềm độc hại truyền thống, nhưng nó vẫn rẻ để tung ra trên quy mô lớn. Điều này có nghĩa là trong khi các doanh nghiệp nên đặc biệt lo lắng hơn, ngoài ra phần mềm độc hại đa hình cũng được sử dụng để nhắm mục tiêu tất cả người dùng máy tính.

Phần mềm độc hại đa hình làm gì?

Mã đa hình đã được tìm thấy trong tất cả các loại phần mềm độc hại. 

+ Ransomware  mã hóa các tệp của bạn và yêu cầu thanh toán tiền chuộc.

+ Keylogger ghi lại các lần gõ phím của bạn nhằm mục đích lấy cắp mật khẩu của bạn.

+ Rootkit cung cấp quyền truy cập từ xa vào máy tính của bạn.

+ Thao tác trình duyệt chuyển hướng trình duyệt của bạn đến các trang web độc hại.

+ Phần mềm quảng cáo làm chậm máy tính của bạn và quảng cáo các sản phẩm độc hại.

Cách bảo vệ chống lại phần mềm độc hại đa hình

Phần mềm độc hại đa hình thường khó bị phát hiện bởi phần mềm chống vi-rút. Mặc dù vậy, nhiều sản phẩm chống vi-rút vẫn phát hiện ra nó, và ngay cả khi chúng không phát hiện ra, vẫn có những cách khác để bảo vệ chống lại nó. Dưới đây là một vài ví dụ.

Heuristic Antivirus

Heuristic antivirus sử dụng chữ ký để phát hiện phần mềm độc hại, nhưng thay vì tìm kiếm các tệp phù hợp với các mẫu phần mềm độc hại đã biết, nó tìm kiếm các tệp có thành phần tương tự với phần mềm độc hại đã biết. Điều này cho phép nó nhận ra các tệp phần mềm độc hại ngay cả khi đã có những thay đổi quan trọng đối với cấu trúc của chúng.

Behavioral Antivirus ( Phần mềm chống Virus theo hành vi)

Một số sản phẩm chống vi-rút, nhưng không phải tất cả, giám sát máy tính của bạn và xác định phần mềm độc hại bằng cách xem các chương trình hoạt động như thế nào. Ví dụ: nếu một chương trình bắt đầu ghi lại các lần gõ phím của bạn, thì đó có thể là một keylogger bất kể nó có dấu hiệu phần mềm độc hại đã biết hay không. Loại phần mềm chống vi-rút này thường sẽ xác định phần mềm độc hại đa hình.

Luôn cập nhật phần mềm của bạn

Nhiều loại phần mềm độc hại được thiết kế để tận dụng các lỗ hổng đã biết trong các sản phẩm phần mềm phổ biến. Các lỗ hổng này có thể được xóa khỏi các chương trình trên máy tính của bạn bằng cách thực hiện cập nhật phần mềm thường xuyên. Điều này có nghĩa là nếu phần mềm độc hại đa hình có trên máy tính của bạn, nó sẽ không thể gây ra nhiều thiệt hại.

Tự nhận ra phần mềm độc hại

Bất kể phần mềm độc hại được phát triển như thế nào, khi nó bắt đầu chạy, nó thường sẽ khiến máy tính của bạn hoạt động tiêu cực theo những cách nhất định. Ví dụ, bạn có thể nhận thấy rằng:

+ Máy tính của bạn chậm hơn đáng kể.

+ Bạn thấy lượng quảng cáo tăng đột biến.

+ Trình duyệt của bạn bắt đầu đưa bạn đến các trang mà bạn không yêu cầu.

+ Máy tính của bạn bắt đầu hiển thị các thông báo bất thường.

Nếu bạn nhận thấy bất kỳ điều nào trong số những điều này xảy ra trên máy tính của mình, bạn nên nghi ngờ phần mềm độc hại và thực hiện các bước để xóa nó.

Sử dụng Internet có trách nhiệm

Tất cả phần mềm độc hại, bao gồm phần mềm độc hại đa hình, chỉ lây nhiễm vào máy tính nếu người sử dụng máy tính đó làm sai. Nếu bạn lo lắng về phần mềm độc hại đa hình, cách dễ nhất để ngăn chặn nó là cẩn thận những trang web bạn truy cập, tệp đính kèm email, tệp tải xuống.

Phần mềm độc hại đa hình có phải là vấn đề không?

Phần mềm độc hại đa hình là một mối đe dọa an ninh mạng đang diễn ra. Mặc dù không có gì mới về nó, nó vẫn là một kỹ thuật chống phát hiện phổ biến. Điều này cũng không có khả năng thay đổi miễn là phần mềm AV tiếp tục sử dụng tính năng phát hiện dựa trên chữ ký.

Cách dễ nhất để bảo vệ khỏi phần mềm độc hại đa hình là sử dụng phần mềm chống vi-rút hành vi và sử dụng Internet một cách có kiến thức để ngăn phần mềm này được tải xuống ngay từ đầu.