La razón principal por la que el malware no puede evadir el AV de esta manera es porque el escáner en acceso lo detectará.

Desde el punto de vista AV, el malware que se mueve a diferentes archivos es el mismo problema que los nuevos archivos que se crean durante el análisis. Una solución muy simple es que el AV haga un seguimiento de los nuevos archivos que se crean (lo que incluye el cambio de nombre de los archivos actuales). Esto se hace conectando la API del sistema operativo u otros enlaces de nivel inferior.

En teoría, un rootkit perfecto será invisible para un AV. Para aumentar las posibilidades de AV contra los rootkits, el AV se inicia muy temprano en la secuencia de inicio, utiliza formas de comunicación de bajo nivel para el sistema operativo y el hardware, y supervisará la actividad de manipulación en sí mismo. Además, la primera etapa de una exploración es en procesos activos y en binarios del sistema. Esto se hace especialmente porque el malware en la memoria puede jugar trucos como usted mencionó.

También tenga en cuenta que cualquier actividad extraña en el lado del malware, como mover archivos, saltar a través de la memoria de diferentes procesos y usar métodos similares a rootkits solo atraerá la atención porque el software legítimo no tendrá ese comportamiento. Las heurísticas de AV marcarán un comportamiento extraño y eso podría ayudar a detectar el malware o el binario podría cargarse en los servidores de AV para su posterior análisis y verificación cruzada.

Escenario "Ocultar y buscar"

Algunos AV realizan escaneos de "búsqueda lineal" mientras que otros lo hacen de forma aleatoria (por ejemplo, AVG). Pero ocultar un virus con una estrategia de búsqueda y ocultación de este tipo no es el mejor enfoque, ya que aportaría demasiada complejidad a su desarrollo. Existen algunas categorías de virus, como el sigilo (interceptar llamadas desde el sistema operativo y devolver respuestas falsas o no válidas), cifrado (mezcla de sí mismos para evitar la detección) o cavidad (que se incrusta en un archivo sin cambiar su tamaño o formato) que mejor lidiar con la evasión.

¿Cómo funciona AV?

Los AV funcionan de dos maneras diferentes. Uno se basa en patrones conocidos de virus previamente identificados. El otro se basa en la verificación "heurística": busca tipos de comportamiento de sistemas malintencionados / no comunes / inesperados.

Rootkit vs Virus

Un rootkit es diferente de un virus, ya que es un tipo de malware que se activa antes de que su sistema operativo se haya iniciado por completo. Los rootkits suelen tener acceso privilegiado al sistema operativo. Un AV por lo tanto no es el arma correcta contra los rootkits.

Esto es totalmente posible, aunque el virus debería tener alguna forma de saber qué está haciendo el escáner AV (ya que muchos se ejecutan constantemente, estén o no escaneando). Sería poco confiable, especialmente en comparación con otras técnicas como la ocultación del ejecutable.

Un rootkit puede ocultarse completamente del sistema operativo infectado; en lo que respecta a su computadora, no existe. Esto hace que sea muy difícil detectarlos con aplicaciones antivirus estándar.