4 consigli per prevenire e mitigare il rischio di virus polimorfo

Il virus polimorfo è una minaccia informatica estremamente in voga in questi ultimi anni.

Il virus polimorfo è una minaccia particolarmente efficace poiché il codice malware riesce ad adattarsi a qualsiasi tipo di protezione antivirus sia presente sul device vittima. Il malware polimorfo è in grado di raggirare la protezione e sfuggire al rilevamento.

Questa forma di virus mutaforma genera codice dannoso che si duplica indefinitamente e altera le sue proprietà nel tentativo di schivare e superare le difese del tuo computer, sabotando infine il sistema al completo.

Tuttavia, non possiamo certamente considerare il virus polimorfico come una minaccia inarrestabile.
Infatti, se applicate correttamente le misure di prevenzione e messa in sicurezza è possibile rimanere protetti da questa minaccia in costante evoluzione.

1. Che cos’è il virus polimorfo?
2. Come avviene l’infezione da virus polimorfo?
3. Quali sono i segnali di un’infezione da virus polimorfico?
4. Come prevenire le minacce da virus polimorfo?
5. Conclusione

Un virus polimorfico o polymorphic malware è un’infezione malware in grado di passare del tutto inosservata di fronte alla protezione di un software antivirus.

Al fine di impedire il rilevamento di sé stesso, la minaccia crea continuamente copie di sé stesso mutando il codice sorgente ma mantenendo intatte le modalità di attacco. La mutazione è la caratteristica distintiva che identifica questo sottoinsieme di virus informatici.

Il virus polimorfico si serve della crittografia per celare la sua struttura e potersi riprodurre tutte le volte che vuole e generando sempre nuove chiavi crittografiche. Affinché i malware “mutanti” possano esistere hanno bisogno dell’azione di un utente. il motore che permette a questa tecnologia di funzionare si rifà ad una logica semplicissima:

Durante il processo di infezione malware viene copiato continuamente il codice e anche la tecnologia di mutation engine, che genera casualmente una nuova routine che si occupa di cifrare il virus; tale routine non avrà nessuna somiglianza con quelle precedenti.

Motivo per il quale il malware polimorfo riesce ad eludere tutte le normali tecniche di scansione antivirus.

Resta dunque implicito che questi malware non utilizzano codice statico.

I metodi più comuni utilizzati dai virus polimorfici per propagarsi tra le vittime sono:

1. spam
2. siti Web infetti
3. altre tipologie di malware.

Alcuni dei virus polimorfici più noti sono

• il Trojan bancario Ursnif (a volte chiamato Gozi)
• il virus worm Windows Vobfus
• il worm e-mail Bagle.

Tali virus polimorfici possono avere conseguenze disastrose sulla sicurezza del vostro sistema informatico se non vengono correttamente identificati e debellati, soprattutto se combinati con altri tipi di malware.

Parlando di altri esempi noti di polymorphic malware includono:

Ransomware CryptoWall

CryptoWall è un ransomware polimorfico che crittografa i dati sul computer della vittima e richiede un riscatto per sbloccarli.
Il motore polimorfico di Cryptowall viene utilizzato per creare variazioni sempre nuove del ransomware per ogni potenziale vittima.

Ransomware Virlock

Il ransomware Virlock è anch’esso un malware polimorfo scoperto nel 2015.
Questo tipo di cryptovirus, a differenza di altri, trasforma i suoi file crittografati in file polimorfici: in sintesi, da una infezione all’altra l’estensione e la cifratura con la quale vengono resi illeggibili i file cambia continuamente.

Beebone

La botnet Beebone nel 2015 colpisce un gran numero di dispositivi e si dimostra uno degli attacchi più avanzati che mostrano questa capacità.
Beebone ha utilizzato un motore per il download dei file di installazione con natura polimorfica. L’FBI e l’Europol hanno dovuto coordinarsi con altre forze dell’ordine internazionali per eliminare definitivamente questa botnet.

Fortunatamente, gli utenti possono ricercare alcuni sintomi rivelatori di un sistema infetto da virus polimorfo, tra cui:

• Rallentamenti del sistema
  

  i rallentamenti insoliti o improvvisi sono spesso un indicatore del fatto che un malware (polimorfo o meno) stia attaccando il dispositivo, consumando risorse soprattutto durante i cicli di crittografia dei file.

• Richieste insolite
  

  se un utente riceve la richiesta inaspettata d’inserire una password che non è mai stata richiesta prima, è un chiaro segno che un malware sta tentando d’infiltrarsi nel computer o nella rete.

• Errato reindirizzamento
  

  se un browser web reindirizzasse inaspettatamente un utente a un URL o a un sito Web che l’utente non ha inserito, potrebbe essere un suggerimento che il malware stia tentando di reindirizzarlo a un sito infetto.
  Anche le pubblicità pop-up insolite che bloccano i siti Web sono segni d’infezione.

In generale, tuttavia, trattandosi di malware di ultima generazione non è sempre possibile identificare la presenza di un Polymorphic virus.

 

Dopo aver appreso le nozioni di base sul virus polimorfico, di seguito, condividiamo quattro consigli pratici per evitarlo.

Aggiornamento regolare di software

Assicurati che il tuo software antivirus sia dotato di moduli per la protezione avanzata e che sia aggiornato all’ultima versione.
I fornitori di software anti malware distribuiscono regolarmente aggiornamenti che includono patch di sicurezza essenziali per le minacce polimorfiche, se già note.

Non aprire mai allegati o collegamenti sospetti

Nelle e-mail di phishing o in altre comunicazioni elettroniche non richieste, potrebbero essere utilizzati collegamenti o allegati dannosi per distribuire malware polimorfici. Tuttavia, potresti contattare il mittente tramite altri canali social per assicurati la veridicità della mail ricevuta.

Rafforza le tue difese aziendali

Assicurarsi di affidare la sicurezza informatica perimetrale della tua azienda ad un fornitore specializzato.
Avere a disposizione tutte le tecnologie, gli strumenti, algoritmi di scansione e expertise dei tecnici per scoprire la gamma più ampia di minacce è uno dei vantaggi più significativi.

Utilizza un software antivirus basato su tecnologia di rilevamento del comportamento

Il rilevamento basato su comportamento è un altro mezzo per contrastare la minaccia d’infezione da virus polimorfico. Si tratta di un tipo di funzione antivirus che analizza il comportamento di un file sospetto e provvede a bloccarlo istantaneamente se qualcosa non va.