Virus polymorphe (Polymorphic virus)

De M82 - DIMA's wiki
Aller à la navigation Aller à la recherche

Un virus polymorphe est un virus dont l’apparence change dans le temps (à chaque infection). Cette caractéristique rend le virus plus difficilement détectable par un anti-virus. Typiquement en changeant de forme, le virus change également de signature* et donc ne permet plus une détection fondée exclusivement sur une analyse par signature. Pour y parvenir, une méthode consiste à chiffrer le corps du virus avec une clé différente à chaque infection. Ainsi la partie principale du virus a une apparence différente. Le virus embarque également une « routine de déchiffrement » qui doit prioritairement donner l’ordre de dé-chiffrer le corps principal du virus pour qu’il soit opérationnel (sinon tous cela ne sert pas à grand-chose). Cette boucle de déchiffrement change également (sous peine d’être potentiellement détectable par un anti-virus). Pour assurer cette modification aléatoire de la routine de dé-chiffrement, le virus insère également des instructions légitimes mais inutiles dans son code (ces instructions sont choisies parmi les routines connues). Voir Signature de virus, Logiciel malveillant, Marqueur.

Récupérée de « https://diod.m82-project.org/index.php?title=Virus_polymorphe_(Polymorphic_virus)&oldid=310 »