Si un virus se vuelve a escribir para cada infección, ¿cómo sabría si ha infectado un archivo o no? Si sigue infectando el mismo archivo pronto, toda la estructura del archivo estará dañada. Por ejemplo, ¿cómo Sality saber si ha infectado un archivo o no?
EDITAR: no pueden verificar algo simple como "si agregan 'kkk' al final del archivo" de lo contrario, los AV verificarían eso y se anularía todo el propósito de ser polimórficos / metamórficos, etc.
El artículo de Eric Filiol Metamorfismo, gramáticas formales e indecidibles Code Mutation muestra bastante bien que puede ser imposible que un virus sepa si una copia metamorfoseada de sí mismo ha infectado un archivo. Sic transit gloria antivirus.
'kkk' estaría encriptado.
Un virus encriptado oculta la firma (cuerpo) del virus al encriptar el virus con una clave diferente de infección a infección, lo que lo hace irreconocible. Un problema con el cifrado de virus fue que el algoritmo de descifrado permanece constante. El malvado virus polimórfico contrarresta esto con un motor de mutación que genera rutinas de descifrado al azar. El motor de mutación y el cuerpo del virus están encriptados. (Un virus metamórfico se reescribe por completo.)
Entonces, si quisieran marcar un ejecutable infectado con una cadena como 'kkk', podrían (aunque hay formas mucho mejores).
Los Malwares usan marcas simples.
He visto cómo se modifica el tiempo de creación del archivo, poniendo a cero la parte de los segundos como marca de infección.
"... EDITAR: no pueden verificar algo simple como ... de lo contrario, los AV verificarían eso y se anularía todo el propósito de ser polimórficos / metamórficos, etc."
El algoritmo de detección de antimalware no puede depender de simples marcas de malware. Las falsas implicaciones positivas pueden causar estragos en todo el mundo.
Lea otras preguntas en las etiquetas virus antivirus file-system