¿Por qué es que cuando se instala malware o adware es extremadamente difícil de eliminar? No puede ingresar a la lista de programas para desinstalarlo y, por lo general, necesita un programa especial para eliminarlo. ¿Qué hacen los creadores de malware para que sea tan difícil de eliminar?
El malware no está hecho para ser fácil de eliminar. Ese es el punto. Ni siquiera debería poder decir que su computadora estaba infectada.
Los autores de malware emplean varias técnicas para hacer que su software sea casi imposible de eliminar: código encriptado, software de varias partes, componentes de recuperación automática y comportamiento de rootkit.
Si solo pudiera ir a la lista de programas y eliminarlos, no obtendrían beneficios. Al ocultarlo todo lo que pueden, pueden mantener aprovechando en tu computadora.
No hay ningún requisito en el sistema operativo Windows para registrar correctamente todos los componentes que el programa va a instalar, o proporcionar un medio para desinstalar. En gran medida, se trata de un "acuerdo de caballeros", que a las empresas de software legítimo les interesa seguir, y generalmente lo hacen.
Los autores de malware no tienen ningún interés (y ningún requisito del SO) para hacer esto. Esencialmente, si el malware puede ejecutarse, puede funcionar mal en su instalación de Windows e instalarse de la manera que le guste, y ciertamente no crearía una manera de deshacerse de él.
Esto se debe en parte a razones heredadas en las que Microsoft solo ha incluido recientemente estándares para instalar software en el sistema operativo (archivos MSI). Hasta entonces, era (y creo que todavía es) común que la instalación se realice a través de un ejecutable creado por el proveedor. El ejecutable puede escribir donde el usuario tiene acceso para escribir. Los ejecutables maliciosos obviamente pueden aprovechar esto.
El malware no se instala como un "programa" como un juego o un navegador web. El malware puede reemplazar un programa existente que se ejecuta cuando se inicia la computadora, por lo que nunca verías que algo estaba mal, u oculta en la RAM, o muchas otras opciones.
Eso depende mucho de los privilegios que tenga el malware en su PC. Dado que el malware inicial se inició como un proceso en su computadora, se ejecutará con los privilegios de la cuenta respectiva; si ha iniciado sesión como administrador, se ejecutará con privilegios de administrador. Si no es así, podría seguir escalando para obtenerlos. Y generalmente, lo primero que hace el malware después de comprometer su PC es descargar más malware que permanece allí.
Y entonces, el cielo es el límite. Puede integrar el malware en el sistema operativo como cualquier otro programa y, aún mejor, esconderlo en otro programa benigno, o disfrazarlo como un servicio del sistema. El malware más astuto simplemente instala un bootkit que compromete su sector de arranque, por lo que, incluso cuando desinstale su sistema operativo y reinstale uno nuevo, seguirá infectado.