بطور کلی می‌توان روش‌های ضد تحلیل و ضدشناسایی ویروس های مدرن را به چند گروه تقسیم‌بندی کرد.

به گزارش خوزنا، استفاده از کدهای چندریختی (Polymorphism): در این روش هر گونه از ویروس با دیگر گونه های آن ویروس متفاوت است. برای شناسایی یک ویروس با کلید تصادفی 32 بیتی به 4 میلیارد (232) امضای ضدویروس نیاز است.

نهان‌کاری (Stealth): در این حالت ویروس سیستم عامل را وادار می‌کند تا فایل‌های مخرب را پاک نشان دهد.

روت‌کیت (Rootkit): روت‌کیت‌ها با نفوذ به هسته (Kernel) سیستم عامل، خود را از چشم ضدویروس و کاربر مخفی نگاه می‌دارند.

تونل‌زنی (Tunnelling): در این روش، ویروس اقدامات مخرب را به‌نحوی انجام می‌دهد که بتواند سیاست‌های محدودسازی ضدویروس را دور بزند. برای مثال، اگر قاعده‌ای، نوشتن بر روی فایل‌های اجرایی را مسدود کرده باشد، ویروس بر روی فایل BAK تغییرات مخرب خود را اعمال کرده و سپس پسوند آن را به EXE تغییر می‌دهد.

طعمه (Decoy): در این حالت، ویروس کدهای مخرب خود را در درون فایل‌هایی سالم، بی‌خطر و با عناوینی جذاب جاسازی می‌کند. در برخی موارد نیز ویروس پس از آنکه اقدامات مخرب خود را بر روی دستگاه اعمال کرد، فایل‌های سالم را جایگزین فایل‌های مخرب خود می‌کند.

ضد ویروس (Anti-anti-virus): ویروس با شناسایی ضدویروس بر روی دستگاه قربانی، با روش‌هایی همچون متوقف ساختن پروسه‌های آن و یا درگیر کردن آن با داده‌های جعلی سعی در از کاراندازی ضدویروس می‌کند. در بعضی مواقع نیز، خرابکاری خود را تا زمان یافتن فرصتی مناسب به تأخیر می‌اندازد.

یکی از روش‌های ضدتحلیل برخی ویروس ها، عدم انجام اعمال خرابکارانه بر روی ماشین‌های مجازی است. تحلیل گران ویروس معمولاً، ویروس را بر روی یک ماشین مجازی اجرا و فعالیت‌های آن را رصد می‌کنند. بنابراین اگر تحلیل گر ویروس متوجه ترفند ویروس نشود، فعالیت‌های غیرمخرب فایل بر روی ماشین مجازی را نشانه‌ای از بی‌خطر و سالم بودن آن خواهد دانست.

مقابله با این روش، بکارگیری روش‌های ضد ویروس است. برای نمونه، می‌توان تنظیمات ماشین مجازی را به‌نحوی تغییر داد که تشخیص مجازی بودن ماشین برای بدافزار دشوار شود و یا بجای ماشین‌های مجازی، بررسی فایل‌های مشکوک بر روی ماشین های فیزیکی انجام شود.

آزمایشگاه‌های شرکت ضدویروس Sophos به تازگی اعلام کرده است که بدافزار Dyreza – که با هدایت و عبور دادن ترافیک بین کاربر و سایتهای بانکداری از طریق مرکز کنترل و فرماندهی خود، رمزگذاری SSL این ترافیک‌ها را دور می‌زند پیش از شروع فعالیت خود از سیستم عامل درباره پردازنده‌ دستگاه سوال می‌کند. در صورتی که دستگاه دارای پردازنده تک هسته ای باشد، ویروس علاقه‌ای از خود نشان نداده و اجرا نمی‌شود!

شبکه گستر,امروزه کمتر کامپیوتر مجازی و یا فیزیکی را می توان یافت که دارای پردازنده تک-هسته ای باشد، مگر در دستگاه های بسیار قدیمی و یا دستگاه هایی که برای یک کار خاص ساخته و استفاده می شوند. ویروس Dyreza نیز بر همین اساس و با تفکر این که این نوع دستگاه ها می توانند ابزار کارشناسان شرکت های ضد ویروس باشند، از خیر آلوده ساختن آنها می گذرد.

هر چند عدم اجرای ویروس ها بر روی ماشین‌های مجازی کار را برای تحلیل گران و آزمایشگاه‌های ویروس دشوار می‌سازد، اما حداقل سرورهایی که در بسترهای مجازی خدمات می‌دهند از گزند این بدافزارها در امان می‌مانند.

در نهایت پلیس فتا استان خوزستان از هموطنان درخواست می¬کند در صورت مواجه با موارد مشکوک آن را از طریق سایت پلیس فتا به آدرسCyberpolice.ir بخش تماس با ما گزارش نمایند.