لإصابة حاسوب بالبرامج الضارة، على المجرمين الإلكترونيين تنفيذ أحد الأمرين التاليين:

  • استدراج المستخدم إلى تشغيل ملف مصاب
  • محاولة اختراق حاسوب الضحية، عبر ثغرة أمنية في نظام التشغيل أو أي برامج تطبيقات يتم تشغيلها على الجهاز

في الوقت ذاته، سيحاول أيضًا المجرمون الإلكترونيون الأكثر احترافًا ضمان أن تتجنّب برامجهم الضارة أي برامج مكافحة فيروسات جارٍ تشغيلها على حاسوب الضحية.

التقنيات المستخدمة للتصدي لبرامج مكافحة الفيروسات

لزيادة احتمالية تحقيق أهدافهم، طوّر المجرمون الإلكترونيون مجموعة من التقنيات لمحاولة التصدي لأنشطة برامج مكافحة الفيروسات، ومنها:

  • إنشاء حزم التعليمات البرمجية وتشفيرها
    يتم إنشاء حزم لمعظم الفيروسات المتنقلة وفيروسات حصان طروادة وتشفيرها. ويصمم المتطفلون أدوات مساعدة خاصة لإنشاء الحزم والتشفير. وقد تبين أن كل ملفات الإنترنت التي تمت معالجتها باستخدام CryptExe وExeref وPolyCrypt وبعض الأدوات المساعدة الأخرى هي ملفات ضارة.

    للكشف عن الفيروسات المتنقلة و أحصنة طروادة الموضوعة في حزم والمشفرة، يتوجب على برنامج مكافحة الفيروسات إما إضافة أساليب جديدة لفك الحزم وفك التشفير أو إضافة تواقيع جديدة لكل عينة للبرنامج الضار.
  • تبديل التعليمات البرمجية
    يحاول المجرمون الإلكترونيون إخفاء برامجهم الضارة من خلال المزج بين التعليمات البرمجية الخاصة بفيروس حصان طروادة وتعليمات "البريد الإلكتروني العشوائي"، بحيث تأخذ التعليمات البرمجية شكلاً مختلفًا في حين يحتفظ حصان طروادة بوظائفه الأصلية. في بعض الأحيان يحدث تبديل التعليمات البرمجية في الوقت الحقيقي، في كل أو معظم الحالات التي يتم فيها تنزيل حصان طروادة من موقع ويب مصاب. وقد استخدم فيروس البريد الإلكتروني المتنقل Warezov هذه التقنية وأحدث انتشارًا خطيرًا للفيروسات.
  • تقنيات التسلل
    تستطيع تقنيات الجذور الخفية، التي تستخدمها فيروسات أحصنة طروادة بوجه عام، مقاطعة وظائف النظام والحل مكانها، لجعل الملف المصاب غير مرئي لنظام التشغيل وبرامج مكافحة الفيروسات. يصل الأمر أحيانًا إلى إخفاء فروع السجلات، حيث يكون حصان طروادة مسجلاً، وملفات النظام الأخرى. ويعد فيروس حصان طروادة المتسلل HacDef مثالاً على التعليمات البرمجية الضارة التي تستخدم تلك التقنيات.
  • حظر تحديثات برامج مكافحة الفيروسات وقواعد بيانات مكافحة الفيروسات
    سيسعى الكثير من فيروسات حصان طروادة والفيروسات المتنقلة عبر الشبكات إلى البحث الجدّي عن برامج مكافحة الفيروسات في قائمة التطبيقات النشطة على حاسوب الضحية. ثم ستحاول البرامج الضارة:
    • حظر برامج مكافحة الفيروسات
    • إتلاف قواعد بيانات مكافحة الفيروسات
    • منع العمل الصحيح لعمليات تحديث برامج مكافحة الفيروسات
    لكي يتغلب برنامج مكافحة الفيروسات على البرامج الضارة، يجب أن يحمي نفسه عن طريق التحكم في تكامل قواعد بياناته وإخفاء عملياته عن أحصنة طروادة.
  • إخفاء التعليمات البرمجية على موقع الويب
    سرعان ما ستأخذ شركات مكافحة الفيروسات علمًا بعناوين مواقع الويب التي تحتوي على ملفات فيروسات حصان طروادة، وبالتالي سيتمكن محللو الفيروسات لديها من دراسة محتوى هذه المواقع وإضافة البرامج الضارة الجديدة إلى قواعد بياناتها. ولكن، في محاولة للتصدي لعملية المسح لمكافحة الفيروسات، يمكن تعديل صفحة ويب، بحيث إنه عند إرسال طلبات من جانب إحدى شركات مكافحة الفيروسات يتم تنزيل ملف لا يحتوي على حصان طروادة بدلاً من تنزيل حصان طروادة.
  • هجمات "الكمية"
    في هجوم الكمية، يتم توزيع كميات كبيرة من إصدارات حصان طروادة الجديدة عبر الإنترنت خلال فترة زمنية قصيرة. ونتيجة لذلك، تتلقى شركات مكافحة الفيروسات أعدادًا هائلة من العينات الجديدة لتحليلها. يأمل المجرمون الإلكترونيون أن يتيح الوقت الضروري لتحليل كل عينة فرصة للتعليمات البرمجية الضارة لاختراق حواسيب المستخدمين.