پلی مورفیسم یا بدافزار چند وجهی یکی از روشهای مورد استفاده طراحان بدافزارها برای پیشگیری از تشخیص محصولاتشان توسط آنتی ویروسهای محبوب است.
اصطلاح پلی مورفیسم یا چند وجهی در اصل ریشه در علم زیست شناسی دارد و به رخ دادن یک رویداد به شکل و فرمهای مختلف گفته میشود.
در حوزه کامپیوتر این اصطلاح نسبتاً جدید است و به معنای تهیه یک رابط کاربری واحد با شکل و فرمهای مختلف است.
بدافزار چند وجهی چیست؟
ایده کلی در طراحی بدافزار چند وجهی این است که اگر یک بدافزار خاص به داشتن خصوصیاتی مشخص شناخته شده باشد، میتوان با کمی تغییر در گونههای جدید آن بدافزار، از تشخیص آنها پیشگیری کرد.
به این ترتیب میتوان فایلهای بیشماری از یک بدافزار ساخت که همگی یک کار انجام میدهند اما با توجه به خصوصیات منحصربفردی که دارند، آنتی ویروسها آنها را به عنوان بدافزار شناسایی نمیکنند.
این روش همچنان کارایی دارد چون بسیاری از آنتی ویروسها برای تشخیص بدافزار از امضای بدافزارها (یعنی خصوصیات و رفتار کلی آنها) استفاده میکنند.
این ترفند مختص یک نوع بدافزار خاص نیست بلکه در تروجانها، روت کیتها، باج افزارها و کی لاگرها شناسایی شده است.
بدافزار چند وجهی چگونه کار میکند؟
معمولاً از کدهای چند وجهی برای ساختن بدافزاری تولید میشود که با سرعت زیادی جهش میکند طوری که آنتی ویروس قادر به شناسایی آن نباشد. بعضی از این بدافزارها 15 تا 20 بار در ثانیه تغییر میکنند.
این یعنی هر چقدر سریع آنتی ویروس یک فایل خاص را ثبت کند، وقتی بلاک کردن آن را شروع کند، نمونههای جدید همان فایل، علامتگذاری نخواهند شد. به این ترتیب چنین بدافزاری میتواند به صورت نامحدود فعالیتش را ادامه دهد.
تفاوت بدافزار چند وجهی و بدافزار دگرگون شونده
هر دو نوع این بدافزارها (پلی مورفیک و متامورفیک) از جهش برای پیشگیری از شناخته شدن توسط آنتی ویروسهای مبتنی بر امضا استفاده میکنند.
در روش چند وجهی هر زمان کد کپی میشود، بخشهایی از آن تغییر میکند اما در روش دگرگون شدن کل کد تغییر میکند در نتیجه کارایی چنین بدافزاری بسیار بیشتر است.
بدافزارهای چند وجهی چه اهدافی دارند؟
از آنجایی که طراحی این بدافزارها سخت و پیچیده است، معمولاً از آنها برای هدف گرفتن مشاغل و اهداف ارزشمند استفاده میشود. البته با توجه به هزینه کم اجرای چنین حمله ای در مقیاس عظیم، امکان استفاده از آن برای هدف گرفتن هر کاربری وجود دارد.
کار بدافزار چند وجهی چیست؟
از تکنیک چند وجهی در بدافزارهای مختلف و برای مقاصد متنوع استفاده میشود، از جمله:
- باج افزارها
- کی لاگرها
- روت کیتها
- دستکاری مرورگر برای هدایت کاربر به سایتهای مخرب
- آگهی افزار
چگونه با بدافزارهای چند وجهی مقابله کنیم؟
با وجود توانایی تکنیک چند وجهی برای دور زدن آنتی ویروس، خیلی از آنتی ویروسها توانایی تشخیص آن را دارند. بعلاوه میتوان با انجام بعضی کارها با چنین بدافزارهایی مقابله کرد، از جمله:
استفاده از آنتی ویروسهای فرااکتشافی
آنتی ویروسهای فرااکتشافی یا هیوریستیک فایلهایی که بعضی قسمتهای آن شبیه به بدافزارهای شناخته شده باشند را هم شناسایی میکنند. به این ترتیب امکان تشخیص فایلهای بدافزار حتی در صورت تغییر بعضی از اجزای آن فراهم میشود.
استفاده از آنتی ویروسهای رفتاری
یکسری از آنتی ویروسها، با نظارت بر رفتار نرمافزارها، بدافزارها را شناسایی میکنند. مثلاً اگر برنامه ای شروع به ثبت ضربات وارد شده به صفحه کلید توسط کاربر کند، در این صورت به عنوان یک کی لاگر شناسایی میشود.
آپدیت کردن نرمافزارها
بسیاری از بدافزارها برای سوء استفاده از آسیب پذیریهای شناخته شده در نرمافزارها طراحی شده اند. این آسیب پذیریها با آپدیت منظم نرمافزارها اصلاح میشوند.
تشخیص بدافزار توسط خود کاربر
صرف نظر از مدل طراحی یک بدافزار، معمولاً وجود آن باعث بروز علائم خاصی میشود. مثل:
- کند شدن سرعت کامپیوتر
- افزایش ناگهانی تعداد تبلیغات
- باز شدن صفحاتی در مرورگر که خود شما درخواست نداده اید
- نمایش پیامهای غیرعادی
در صورت مشاهده هر یک از این رفتارها، لازم است کارهای لازم برای حذف بدافزار را انجام دهید.
مراقبت و توجه هنگام استفاده از اینترنت
همه بدافزارها از جمله بدافزار چند وجهی تنها در صورتی کامپیوتر را آلوده میکنند که خود کاربر اقدام اشتباهی انجام دهد. راحت ترین روش پیشگیری از آلودگی به بدافزار، توجه داشتن نسبت به سایتهایی که باز میکنید، فایلهایی که از طریق ایمیل دریافت میکنید و فایلهایی که دانلود میکنید، است.