Metamorfiske virus er en ny tendens som viderefører prinsipper fra polymorfiske virus, og tar et avgjørende skritt videre, forklarer Eric Chien. Han leder Symantecs forskningsavdeling SARC (Symantec Antivirus Research Center).
- Virus identifiseres gjerne gjennom sitt "fingeravtrykk". Oppdatering av virusvern betyr ofte at signaturbasen som virusskanneren skal gjennom, utvides med avtrykkene til nye virus. Polymorfiske virus bruker kryptering for å endre sine fingeravtrykk. Antivirus-utviklerne har lært seg å identifisere polymorfiske virus ved å dekryptere dem og få fram deres ukrypterte signaturer.
Metamorfiske virus utnytter en annen metode for å variere sine avtrykk, ved at de stadig endrer sin egen kode, forklarer Chien.
- Alle som har drevet med programmering vet at et identisk resultat kan framstilles på uendelig mange måter. Et enkelt eksempel er utskrift av la oss si, tallet 7. En kommandorekke som gir dette resultatet kan være "x := 7; print x". En annen kan være "x := 1; x := x+6; print x".
Med komplekse algoritmer for å variere kommandostrukturen er det tenkelig at noen vil være i stand til å framstille et virus som ikke kan detekteres, frykter Chien.
- Signaturer er ubrukelige mot metamorfiske virus. Derfor må man konsentrere seg om å analysere det koden faktisk gjør. Det finnes stadig bedre metoder for dette. Men man kan tenke seg at et eller annet sted i den metamorfiske koden er det en sløyfe som kjører i flere måneder før noe skjer. Koden vil ikke avsløres av en skanner, og siden det tar måneder mellom hver gang den gjør noe, er heller ikke denne metoden noe vern. Da står man overfor en potensielt svært ødeleggende tidsinnstilt metamorfisk bombe.
For flere år siden var det mange som hadde stor tillit til at såkalte "behavior blocks" - sperrer mot bestemte gjøremål - ville være den endelige måten å hanskes med virus, ormer og trojanere. Ideen er at bestemte gjøremål, for eksempel tilgang til adresselisten i Outlook, skal forbeholdes spesielle forhåndsklarerte applikasjoner. I praksis medførte dette store problemer for brukerne, og ideen ble lagt på is.
- Nå tas gjøremålssperring fram igjen, men på en annen måte. For det første kutter man ut meldinger som er uforståelige for andre enn spesielt IT-interesserte. I stedet for "Module X is trying to access function Y; Click here to cancel", stilles spørsmålet "Are you sending e-mail?". For det andre ser man ikke på gjøremål isolert, men i sammenheng med hva en bestemt kode har gjort tidligere.
Da kan man registrere at utgående e-post stammer fra et nylig åpnet vedlegg, at den utgående e-post inneholder vedlegg generert av det opprinnelige vedlegget, og at det ikke har vært interaksjon med brukeren. En slik sekvens er typisk for IloveYou-kategorien, og metoden kunne hindret spredning av IloveYou i tidsrommet før virusvernerne fikk tak i signaturen.
Symantec har en prototyp for en slik sperre. Chien mener det vil være aktuelt å distribuere den til kundene gjennom LiveUpdate-ordningen, som automatisk sørger for å oppgradere Norton Antivirus-installasjoner.
