Bobbyline er et eksempel på en såkaldt metamorfisk computervirus. Det betyder, at virus, hver gang den inficerer en ny del af et computersystem, omskriver sig selv.

Hvordan fungerer det

En virus består typisk af en krypteret kode (payload), som, når den inficerede fil køres, dekrypteres og kører sit skadelige program, herunder inficering af yderligere filer. Den del af virus, der står for udpakningen, er den samme: Det er dén, som et antivirusprogram kan genkende. En mere avanceret form for virus, en såkaldt polymorfisk virus, sørger derfor for at skjule udpakningsdelen ved at ændre på denne ved hver ny inficering, men det kan virusprogrammet stadig genkende, når den dekrypteres, og den kan så slå alarm. Metamorfisk virus går trinnet videre ved at omskrive selve programmet gennem en slags metakode, så den ser ud på en helt ny måde, men stadig udfører den oprindelige funktion. Det betyder også, at en metamorfisk virus er meget stor og kompleks og har den største del af programmet til at udføre omskrivningen, mens selve virussens funktion fylder en mindre del.

Angreb og forsvar

Metamorfiske vira er svære men ikke umulige for antivirusprogrammer af genkende. Svagheden i metamorfisk virus er, at den skal analysere sig selv ved udpakning, og det betyder, at antivirusprogrammerne kan bruge samme teknikker til at finde virus, som virus bruger til at pakke sig selv ud med. For at beskytte sig mod avancerede vira som denne, er det dog ofte bedre med en sikkerhedspolitik, der sikrer systemerne mod overhovedet at blive inficerede.

Historie

En af de tidligste eksempler på en metamorfisk virus er ”Zmist”, som blev skabt af den russiske programmør Z0mbie i starten af 2000-tallet. I 2016 blev en ransomware variant med navnet ”Virlock” opdaget, og man fandt ud af, at den havde en avanceret metamorfisk kodegenerator, der kunne skabe en ny unik udgave af sig selv for hver kopi af virussen.

Spillet

BobbyLine er en sofistikeret metamorfisk computervirus, der er dyr at bruge. Den koster 3 porte at spille, men skader til gengæld 5 af modstanderes porte. Kortet spilles som et aktionskort – altså på angriberens tur.