Spør eksperten!

SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)

Malware forfattere er i en konstant katt-og-mus-lek med antimalware forskere. Så snart enten gjør et forskudd, de andre tellere det. I den siste angrepet på New York Times
, malware forfattere ble rapportert å bruke utnytte kits som forandret størrelser og innholdet i malware filer for å unngå å bli oppdaget av signaturbasert antivirus.

Men bare å endre størrelsen på filene vil ikke hindre gjenkjenning. Måten signaturer er generert for malware deteksjon krever mer sofistikerte metoder - avhengig av antivirusmotor og forskergrupper - men vanligvis signaturer er litt mer avansert enn bare å sammenligne MD5 summer. Antimalware-systemer er designet for å se etter visse mønstre eller hashes i en fil for å identifisere malware og potensielle varianter, uavhengig av størrelse. Defensive systemer har måttet tilpasse seg disse typer teknikker midt økningen i polymorfe eller stadig endring malware, og ofte bruker heuristikk (ledetråder basert på tidligere deteksjon malware) for å bedre deteksjon priser. Bruken av heuristiske metoder er en måte falske positiver er innført, men den samlede forbedringer i deteksjoner oppveie mulig for falske positiver. Hvis det finnes tilstrekkelig forskjeller generert mellom malware produsert, kan det hjelpe malware unngå å bli oppdaget.

De samme teknikkene er brukt andre steder for å unngå signatur-basert gjenkjenning. Unngå signatur-basert gjenkjenning inntrenging har blitt oppnådd ved å bruke no-op sleder (et programmerings teknikk) i skall kode eller skadelig kode, men ingen-op kjelker kan oppdages. Disse teknikkene kan ikke være effektiv mot atferdsbasert deteksjon eller hvitlisting.