¿Por qué un escritor de virus se molestaría en verificar si una máquina está infectada antes de infectarla?

22

Estaba mirando la estructura tripartita de un virus, y parece verificar si una computadora está infectada antes de infectarla con el virus. ¿Sería esto un intento de usar archivos que ya están presentes para infectar, en lugar de transferir otra copia del virus a la máquina?

    
pregunta SwaroopGiwali 02.10.2012 - 12:12
fuente

5 respuestas

27

El objetivo de la mayoría de los programas maliciosos es permanecer activo el mayor tiempo posible. Cuanto más tiempo pueda recopilar pulsaciones de tecla, participar en ataques DDoS, redirigir los resultados de búsqueda, enviar correos electrónicos no deseados, mostrar anuncios emergentes, etc., más rentable será para el creador. Para alcanzar este objetivo, debe ser detectado.

Si una pieza de malware infecta una máquina dos veces, puede dejar la máquina en un estado indefinido, o causar conflictos. También puede consumir más recursos de lo normal. Esto puede llevar a la detección a través de una variedad de operaciones:

  • Intentando bloquear el mismo archivo dos veces, lo que provoca un bloqueo.
  • Inyectar en procesos en ejecución dos veces, causando daños en la memoria y bloqueos.
  • Infectar el mismo archivo dos veces, causando que se corrompa.
  • Intentar instalar varios enlaces en las mismas API / objetos / mensajes del sistema, lo que provoca un comportamiento errático o indefinido.
  • Mayor uso de la CPU, la red y el disco debido a la carga de tener varias copias instaladas.

Cuantos menos recursos se utilicen y menos perturbaciones se produzcan, es menos probable que el usuario note que algo está mal. Una vez que un usuario se da cuenta de que algo no funciona correctamente, intentarán solucionarlo, lo que podría provocar la eliminación del malware. Como tal, es mejor que el creador de malware evite estos problemas y permanezca encubierto.

    
respondido por el Polynomial 02.10.2012 - 12:18
fuente
12

El primer gusano de Internet , en 1988, acabó con Internet (solo por un momento, por supuesto) porque no comprobó adecuadamente su presencia antes de volver a instalarse. Incluía un método heurístico que no funcionaba como creía el autor. Todas las copias obstruyeron las redes y asfixiaron las máquinas, lo cual fue casi imperceptible.

Un virus querrá verificar su presencia antes de infectar por los mismos motivos: para evitar que su host se ahogue bajo múltiples copias de sí mismo. Para propagarse de manera eficiente, el virus no debe matar a su host demasiado rápido (y lo mismo se aplica a los virus biológicos, por cierto).

No obstante, hay una sutileza. Hay algunos virus simplistas que dañan los archivos que infectan, escribiéndose sobre las instrucciones que se encuentran en ese emplazamiento. Un virus de este tipo podría escribirse y reescribirse en el mismo archivo sin ningún efecto adicional. Sin embargo, dado que el archivo original está dañado, ya no funciona correctamente, lo que hace que el virus sea menos invisible y puede hacer que el usuario realice una limpieza. Por lo tanto, los virus eficientes copian las instrucciones alrededor de los archivos infectados, para que se ejecuten de todos modos. El archivo infectado está necesariamente ampliado en el proceso. Si el virus infecta un archivo repetidamente, entonces el archivo podría crecer sin ningún límite y, finalmente, rellenar el disco duro, en la verdadera forma de 1988.

    
respondido por el Thomas Pornin 03.10.2012 - 12:42
fuente
11

Es parcialmente una razón comercial más que una razón técnica. Una vez estuve leyendo una publicación del blog que detallaba un lanzamiento de venta, y la persona que vende el acceso a las máquinas infectadas (con el propósito de retransmitir spam, robar información de tarjetas de crédito, DDoS, etc.) estaba muy estresada porque no cargaba binarios múltiples en cada bot.

Mientras más infecciones individuales tenga una máquina, más probable será que el usuario la note, y más probable será que se la limpie. Vale la pena volar bajo el radar.

    
respondido por el OtisBoxcar 02.10.2012 - 12:23
fuente
7

También agregaría, además de otras respuestas, que puede haber más que solo comprobar si I estoy infectando la máquina dos veces.

Si estuviera en ese campo, me aseguraría de que la máquina no esté infectada con OTRAS cosas además de MIS cosas.

Cuantas más cosas se instalen, más probabilidades hay de que la máquina se bloquee, se ejecute lentamente o algo cause un aviso al propietario.

La eliminación preventiva de productos de la competencia, así como la verificación de ninguna versión anterior de mi producto, ayudaría a mantener el sistema en mi poder. Como se mencionó, el objetivo sería mantener la CPU "mía". Eso significa que debes estar tranquilo y no atraer la atención.

    
respondido por el WernerCD 02.10.2012 - 15:23
fuente
1

La máquina puede volverse lenta, hasta el punto en que no se pueda utilizar. Por ejemplo, si un virus envía continuamente correos electrónicos, otros programas se ejecutarán más lentamente y la red se saturará y se desacelerará Internet.
Si el virus es un infector de archivos, dañaría un archivo al infectarlo demasiadas veces.

    
respondido por el Celeritas 03.10.2012 - 05:00
fuente

Lea otras preguntas en las etiquetas