Een polymorf virus verschilt van een gewoon virus in de manier waarop het zich vermomt. De programmacode van polymorfe malware wordt bij elke nieuwe infectie gewijzigd met behulp van encryptie. Net zoveel infecties als er variaties van hetzelfde virus zijn. Maar elke wijziging is in feite een nieuw exemplaar van het virus.
Polymorfe virussen kunnen complexe cryptografische algoritmen gebruiken voor encryptie. Daarom is op handtekeningen gebaseerde antivirusbescherming bijvoorbeeld machteloos tegen geavanceerde polymorfe malware – het is als een vaccin dat alleen beschermt tegen bekende griepmutaties. Om PC ‘ s van dergelijke polymorfe virussen te behandelen, is een volledige decodering van hun “lichaam” noodzakelijk.
audit van informatiebeveiliging
Polymorfe malware wordt meestal geclassificeerd door polymorfisme niveaus. Er zijn vier tot zes van dergelijke niveaus. De eenvoudigste oligomorfe virussen hebben dezelfde code secties waarmee ze kunnen worden geïdentificeerd met behulp van handtekening databases. De meest complexe virussen gebruiken permutatiecode: ze veranderen voortdurend op het niveau van subroutines — installer, cryptograaf, interrupt handler, enz.
Het laatste type omvat het relatief nieuwe virus Virut.ce, dat niet zozeer opmerkelijk is vanwege zijn kwaadaardige functionaliteit als vanwege zijn geavanceerde mutatiemechanisme. Het verschilt van andere complexe polymorfe virussen door regelmatig de broncode bij te werken.
De bronnen van infectie zijn dezelfde als die van gewone virussen: e-mailnieuwsbrieven, geïnfecteerde sites, gehackte software, fysieke media.