Mã độc đa hình là mã độc mà có thể tự thay đổi mã lệnh của nó sau một khoảng thời gian hoặc sau mỗi lần lây nhiễm. Mã độc đa hình khác với các mã độc thông thường ở chỗ nó có khả năng tự biến đổi bản thân thành nhiều dạng khác nhau. Mục đích của bài báo là giới thiệu tổng quan về mã độc đa hình, phương pháp đa hình cho mã độc, các biện pháp phát hiện mã độc đa hình và phân tích mã độc đa hình Virlock.
GIỚI THIỆU
Ngày nay, hầu hết các thông tin, dữ liệu của các cá nhân, tổ chức đều được lưu trữ trên máy vi tính. Mặc dù những thông tin, dữ liệu này đã được mã hóa với độ bảo mật cao, tuy nhiên vẫn có nhiều phương pháp, cách thức để tin tặc có thể lợi dụng nhằm mục đích đánh cắp thông tin của các cá nhân, tổ chức đó. Một trong những phương pháp phổ biến hiện nay đó là sử dụng mã độc (malware) [1].
Mã độc là một loại phần mềm được cài đặt trái phép trên máy người dùng nhằm mục đích thu thập dữ liệu, đánh cắp thông tin và phá hoại hệ thống máy tính của các cá nhân, tổ chức. Mã độc ngày nay đã phát triển dưới nhiều hình thái khác nhau, không chỉ tồn tại dưới một dạng đơn thuần mà còn là sự pha trộn, lai tạo dựa nhiều dạng.
Mã độc đa phần đều có thể bị phát hiện và tiêu diệt bởi phần mềm phòng chống mã độc và các công cụ kiểm tra an toàn thông tin. Những loại mã độc đó được gọi là mã độc đơn hình. Để có thể vượt qua được các phần mềm phòng chống mã độc thì mã độc trở nên càng ngày càng phức tạp, tinh vi hơn từ cách thức lây nhiễm, phương pháp ẩn mình và hành vi trên máy người dùng,… Những mã độc như vậy được gọi là mã độc đa hình.
Mã độc đa hình (polymorphic malware) khác với các mã độc thông thường ở chỗ nó có khả năng tự biến đổi bản thân thành nhiều dạng khác nhau [2]. Trong suốt qua trình tấn công, lây lan hay kết nối với máy chủ C