Een “armored” virus is een soort malware die is ontworpen om de detectie ervan zo moeilijk mogelijk te maken, onder meer door de hoeveelheid code te verhogen (d.w.z. “armor”). Tegelijkertijd kan de kwaadaardige functionaliteit van een dergelijk virus primitief zijn. De gepantserde variëteit is een polymorfe virussen.
audit van informatiebeveiliging
De belangrijkste inspanningen van de maker van het gepantserde virus zijn gericht op het moeilijk maken voor antivirussoftware om het te analyseren, zodat de viruscode niet in handtekeningdatabases komt. De meeste moderne gepantserde virussen gebruiken verschillende boekingstechnologieën. De basisset bevat::
- obfuscation, of code obfuscation: het creëren van redundante, vaak niet geschreven in de taal, maar werkende code die het moeilijk maakt om te analyseren;
- stealth-technologie: het virus verbergt zijn aanwezigheid in het besturingssysteem door systeemberichten te onderscheppen;
- Polymorfisme: het vermogen van een virus om de code van een “afstammeling” te veranderen bij elke nieuwe infectie met behulp van encryptie.
Verdoezeling is het belangrijkste kenmerk van een gepantserd virus, wat onder andere een toename van de grootte van het programma impliceert. Bijvoorbeeld, een van de eerste dergelijke virussen walvis (“walvis”), die verscheen in 1990, “woog” meer dan 9 kB. In die tijd was het een van de ernstigste virussen.
Een van de variëteiten van het gepantserde virus is een metamorf virus. Net als polymorphic wijzigt dit type zijn code, maar zonder de hulp van encryptie. Wijzigingen kunnen zijn in de vorm van het invoegen van “afval” fragmenten in de broncode, het veranderen van basisinstructies — operatiecodes, het vervangen van hele blokken code. Metamorfen kunnen ook hun code mengen met de code van een geïnfecteerd programma — dit wordt “splicing”genoemd.
Bronnen van infectie: e-mailbijlagen en geïnfecteerde sites.