¿El hash MDA o SHA1 basado en el motor antivirus?

Los virus se injertarán en archivos ejecutables existentes. Por lo tanto, no hay un archivo arquetípico un para un virus con todas las copias bit a bit idénticas a ese archivo. Además, incluso una pieza de malware es un archivo independiente, los autores de malware se encargan de transformar automáticamente su código en miles de millones de variantes (los bits de cambio que están en el archivo pero no afectan su funcionalidad), precisamente para que Tarea de detección más difícil para el software anti-malware. El antimalware antiguo funcionó como usted sugiere (hash del archivo, búsqueda en la base de datos de "hash mal conocido"), pero los autores de malware se han adaptado hace mucho tiempo, lo que obliga a que el antimalware sea más inteligente en su detección.

Porque el malware puede cambiar partes de sí mismo con datos aleatorios y, por lo tanto, cambiar el hash del archivo o los archivos que ha infectado. Además, la mayoría del malware avanzado en estos días está repleto de lo que se denomina "criptógrafo FUD", lo que dificulta mucho el trabajo de los proveedores de AV.

Lea más en enlace

Si desea una mejor seguridad que la que proporciona AV, adopte un enfoque de lista blanca para los ejecutables, que le permita ejecutar solo los archivos .exe que usted específicamente permite. Un ejemplo de ello es Windows AppLocker.

Las otras respuestas son buenas, pero otra razón es que con los hash (sin incluir los sistemas de hash a trozos como ssdeep), si el archivo cambia incluso en el más mínimo, el hash será drásticamente diferente. Así que el autor del malware puede simplemente escribir:

echo 1 >> malware.exe

Y el archivo tendrá un hash diferente.

Como se ha mencionado, el hashing de todo el archivo no es efectivo por varias razones.

1. Es (un poco) computacionalmente más intensivo, entonces ¿por qué hacerlo si puedes evitarlo?

2. Algunos virus son polimórficos, por lo tanto, cualquier cambio leve puede hacerlos indetectables a través de este método de "archivo completo".

3. En realidad, es relativamente raro obtener un ejecutable de malware individualmente. La gran mayoría de las veces estará vinculado con otro ejecutable, lo que significa que nuevamente pasamos de un virus específico a miles de variantes dependiendo de a qué archivo está vinculado, volviéndolo más bien inútil.

4. Una salida final que describiré es realmente el punto de dificultar (al menos un poco más) a los autores de malware. Si tuviera un archivo con un montón de basura al principio, un montón de basura al final, pero una parte central muy específica y maliciosa en el centro que hace las cosas malas y es difícil de volver a escribir de otra manera, quiero identificar que en cada archivo Entonces, no importa qué basura haya puesto antes / después, todavía tienen que encontrar una nueva forma de volver a escribir esta sección clave, que puede ser mucho más difícil que transformar un poco de basura.

Piénselo de esta manera, si quisiera encontrar una frase clave como "Security StackExchange" en una página web, ¿debería buscar esa frase específicamente? ¿O encuentra una página que la contenga y solo busque copias de esa página? Esa es esencialmente la diferencia entre la búsqueda de una firma de virus específica (frase) frente al hashing del programa (página completa).

Vale la pena señalar que muchas de estas cosas se han simplificado enormemente para facilitar la explicación.