Hay algunas formas en que el malware podría cifrarse para impedir la detección de antivirus:
-
Derive una clave a partir de información específica del destino, como hashes de archivos conocidos, nombres de usuarios y recursos compartidos de red. Echa un vistazo a descripción de Ars Technica de Gauss .
-
Cifrado a sí mismo con una clave aleatoria, pero relativamente corta. Cuando el malware se ejecute, deberá forzar la clave bruta. Muchas cajas de arena AV tienen un tiempo de espera en la cantidad de tiempo que una muestra en particular puede ejecutarse, si el proceso de fuerza bruta toma más tiempo que este tiempo de espera, la carga útil malintencionada no se descifra.
-
Recupera la clave de internet. El atacante puede alojar un servidor web con la clave. Luego podrían usar la sincronización, la información de IP o los parámetros basados en el cliente para determinar si se debe enviar la clave.
Por supuesto, para ejecutar la carga útil encriptada, el malware debe ser descifrado. Si se descifra, el antivirus puede detectarlo, pero el malware puede detectar primero el AV.
Finalmente, el mecanismo de tener una carga útil encriptada utilizando claves basadas en host, aleatorias o basadas en red se puede usar como una firma para malware. Es posible que el AV no sepa lo que habría hecho la muestra, pero podría evitar que se ejecute en primer lugar.