Um vírus “blindado” é um tipo de malware projetado para tornar sua detecção o mais difícil possível, inclusive aumentando a quantidade de código (ou seja, “armadura”). Ao mesmo tempo, a funcionalidade maliciosa de tal vírus pode ser primitiva. A variedade blindada é uma vírus polimórfico.
auditoria de segurança da Informação
Os principais esforços do criador do vírus blindado visam dificultar a análise do software antivírus para que o código do vírus não entre nos bancos de dados de assinaturas. A maioria dos vírus blindados modernos usa várias tecnologias de reserva. O conjunto básico inclui:
- ofuscação, ou ofuscação de código: criando redundante, muitas vezes não escrito na linguagem, mas código de trabalho que dificulta a análise;
- tecnologia stealth: o vírus esconde sua presença no SO interceptando mensagens do sistema;
- Polimorfismo: a capacidade de um vírus alterar o código de um “descendente” a cada nova infecção usando criptografia.
A ofuscação é a principal característica de um vírus Blindado, o que implica, entre outras coisas, um aumento no tamanho do programa. Por exemplo, um dos primeiros vírus desse tipo Baleia (“Baleia”), que apareceu em 1990, “pesava” mais de 9 kB. Naquela época, era um dos vírus mais graves.
Uma das variedades de vírus blindados é um vírus metamórfico. Assim como o polymorphic, esse tipo modifica seu código, mas sem a ajuda da criptografia. As modificações podem ser na forma de inserção de fragmentos “lixo” no código — fonte, alteração de instruções básicas-códigos de operação, substituição de blocos inteiros de código. Metamorfos também podem misturar seu código com o código de um programa infectado — isso é chamado de “splicing”.
Fontes de infecção: anexos de E-mail e sites infectados.