Ministero dell'Istruzione, dell'Università e della Ricerca
Formazione degli insegnanti sulle Tecnologie dell'Informazione e della Comunicazione
For TIC
Percorso C
Modulo 1
Infrastrutture informatiche all'interno di un istituto scolastico
Approfondimento: Virus e antivirus
Virus polimorfi

Gli antivirus basano il riconoscimento dei virus , necessario alla loro rimozione, su un codice identificativo univoco che è contenuto nel virus e che è detto impronta virale . Un virus diventa quindi particolarmente difficile da individuare se riesce a mascherare la propria impronta ovvero a renderla diversa ogni volta che si replica su un nuovo ospite.

L'impronta virale è costituita da codice eseguibile del virus per cui non può essere tutta alterata per mimetizzare il software nocivo. Per nasconderla si può invece crittografarla con una funzione che ha alcune caratteristiche casuali e poi replicare il codice del virus criptato e la funzione per decriptarlo.

Questo tipo di virus è detto virus polimorfo , poiché contiene un sistema (il polymorphic engine) che gestisce le chiavi e le funzioni di cifratura e decifratura. Un virus polimorfo è quindi costituito dal codice del virus, dal polymorphic engine (entrambi cifrati) e dalla funzione per decifrarli. Quando il virus polimorfo viene caricato, la funzione di decifratura decripta il virus e il polymorphic engine. Il virus lancia poi il polymorphic engine ogni volta che vuole ottenere la coppia di funzioni (cifratura, decifratura) che serve a generare una nuova copia mutata di se stesso.

Indice