Ce virus modifie son aspect à chaque nouvelle infection. A chaque fois qu’ils infectent un fichier, il se crypte différemment. Il faut donc que l’antivirus analyse la technique d’encryptage de chaque virus pour tenter de déceler, dans les fichiers contaminés, une caractéristique remarquable.
Un virus polymorphe est découpé en deux parties :
- Le corps principal du virus, d’une part, généralement chiffré avec une routine de chiffrement variable qui change à chaque réplication du virus. Cette partie principale présente ainsi une apparence différente à chaque fois.
- Une boucle de déchiffrement d’autre part. Elle a pour rôle de déchiffrer la partie principale du virus. Elle est également générée par le générateur de polymorphisme, comme le corps principal. Car, si cette boucle de déchiffrement était toujours la même, un antivirus pourrait essayer de la repérer elle, plutôt que le corps principal, et le travail de détection resterait simple. A l’inverse, en générant cette boucle de déchiffrement aléatoirement, le virus la rend potentiellement indétectable elle aussi.
Commentaires récents