Polymorphic malware

Polymorphic malware merupakan malware yang dapat merubah dirinya atau bermutasi. Teknik ini biasanya digunakan untuk mengelabui anti-virus khususnya yang menggunakan teknik deteksi pattern matching. Polymorphic malware berasal dari teknik polymorphic code, dimana kode sebuah aplikasi dapat bermutasi atau berubah setiap dijalankan tapi tidak merubah fungsinya. Analoginya misalnya operasi matematik 2+3 menghasilkan hasil yang sama dengan 6-1. Jadi walaupun kodenya (operasi matematiknya) berbeda tapi hasil outputnya tetap sama yaitu 5.

Polymorphic malware menggunakan teknik enkripsi serta melakukan mutasi pada pasangan kunci enkripsi dan dekripsi. Sehingga setiap kali melakukan infeksi, malware akan mempunyai pasangan kunci enkripsi dan dekripsi yang berbeda. Cara ini akan sangat menyulitkan antivirus untuk mendeteksi malware. Terutama anti virus yang mengandalkan signature dan pattern matching dalam melakukan deteksi.

Walaupun begitu teknik polymorphic ini memiliki keterbatasan. Anti-virus dapat menggunakan teknik memory based signature detection. Pada teknik ini antivirus akan melakukan block hashing, maksudnya akan tidak melakukan hashing terhadap seluruh file malware, tapi pada bagian2 tertentu. Hal ini karena umumnya mutasi dilakukan tidak pada seluruh bagian kode malware, tapi hanya pada bagian tertentu saja pada malware. Sehingga walaupun sudah bermutasi berulangkali, tetap saja ada bagian tertentu yang sama. Nah disinilah antivirus melakukan hashing secara blok per blok atau bagian per bagian dari malware. Selain itu antivirus dapat menggunakan emulator. Disini malware dijalankan pada sebuah sistem dan diperhatikan karakteristiknya. Misalnya pada Sandbox. Walaupun malware telah bermutasi, fungsi yang dijalankan tetap sama, sehingga akan terlihat pada emulator.

Contoh polymorphic malware adalah tremor, 1260, virut dan dark avenger.

Semoga bermanfaat!

bahan bacaan:

https://www.blackhat.com/presentations/bh-usa-08/Hosmer/BH_US_08_Hosmer_Polymorphic_Malware.pdf

john aycock – computer virus & malware – springer

Silahkan tuliskan tanggapan, kritik maupun saran