Polymorphic (Polimorfik) virüsler

Öncelikle kelime (sözlük) anlamı bakımından polimorfik nedir? Buna bakalım.

  1. Çok biçimli
  2. Çeşitli veya pek çok formu olan, gelişimin farklı evrelerinde farklı formlarda (varyantlarda) görülen.
  3. Aynı popülasyon içerisinde ve aynı türe ait farklı eşeylerde, iki veveyaha çok belirgin farklılık gösteren.

Polimorfik virüsler de aynen sözlük anlamı gibi bilgisayarlar üzerinde çok biçimlilik gösteren, kendisini farklı varyantlar üzerinde kopyalamak suretiyle tespit mekanizmalarına (Antivirüs veya kullanıcılar) yakalanmama amacı güden virüslerdir.

Kopyalamış olduğu varyantları imza (md5 hash) değişikliğine gider. Aynı zamanda dosya içerisine karışık ve şifreli veriler (kodlar) ekler.

Antivirüs veritabanı nedir?

Dünyada genel geçer şekilde dosyaların zararlı olup olmadığı; dosyaların md5 hash’lerine bakılarak kontrol edilir. Her bir antivirüs programının kendisine ait imza veritabanı bulunur. Bu veritabanındaki md5 hash değerleri ile şüpheli dosyanın hash değeri karşılaştırılır ve dosyanın malware olup olmadığına karar verilir. Daha sonra karantinaya mı alınsın? Silinsin mi? gibi programın özelliğine göre aksiyon alınır.

Tek bir polimorfik virüsün yüzlerce ve binlerce varyantı olabilir. Bu şekilde sadece dosya imzası kontrolü yapan Antivirüs programlarınca yakalanmaz. Antivirüs geliştiricilerinin zararlı dosyaları yakalayabilmek için çeşitli farklı yollara bu yüzden başvurmaktadırlar. En iyi AV bile polimorfik virüsler ile başa çıkamayabilir. Heuristic Detection ( Sezgisel Algılama ) metodu ile Antivirüs firmaları zararlı dosyaların farklı türevlerini davranış biçimlerine bakarak tespit edebilmektedir.  Polimorfik virüse örnek olarak Downloader Dromedan örneği verilebilir.

Heuristic Detection nedir?

Dosyaların imza karşılaştırılması haricinde sezgisel algılama metodu uygulanmaktadır. Bu metot ile özel formül ve prosedürler uygulanarak dosyanın içerisinde bulunan kodların davranışsal olarak zararlı (virüs veya malware) davranıp davranmadığı taranarak kontrol edilir. Bu taramalarda false positive ( yanlış alarm ) durumları ile karşılaşılabildiği dikkate alınmalıdır.

False Positive nedir?

En genel anlamıyla ‘ false positive ‘ bir güvenlik yazılımının açık yada zararlı olarak nitelendire bildiği fakat gerçekte bundan etkilenebilecek bir ortamın yada zafiyetin olmaması durumudur ve yanlış alarm olarak da değerlendirilebilir.

Güvenlik yazılımlarında False Positive nedir?

False Negative nedir?

Bir  eleme sisteminin yanlış bir eleme yapmasıdır. Bir virüs yazılımının gerçekte virüs olan bir yazılımı virüs olarak algılamaması veya bir  antispam yazılımının gerçekte spam olan bir e-postayı spam olarak algılamaması False Negative için örnek olarak verilebilir. Bir saldırının sistemi koruyan IDP,IPS gibi unsurlar tarafından algılanamayıp izin verilmesi de örnek olarak verilebilir.

http://sozluk.cozumpark.com/goster.aspx?id=984&kelime=False-Negative

 

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s