¿Cuán efectivo es el antivirus basado en firmas para detectar malware cifrado ?
¿Cuán efectivo es el antivirus basado en firmas para detectar malware cifrado ?
Los detectores de antivirus basados en firmas no funcionan bien contra los virus codificados polimórficos o metamórficos. Los virus generan una clave de cifrado aleatoria para cada nueva infección, por lo que la mayor parte del virus siempre es diferente. Para la rutina de descifrado en sí (una fracción del virus en general), generan un nuevo código equivalente cada vez que se propagan. En el lenguaje de máquina, especialmente en un procesador complejo, hay muchas instrucciones que realizarán tareas idénticas: por ejemplo, tanto MOV AX, 0 como XOR AX, AX logrará el resultado de colocar un cero en el registro de AX. La rutina puede cambiar los registros que usará; esta vez usa AX para un contador, la siguiente usa DX. Puede reordenar las instrucciones. Y puede completar la rutina con una gran cantidad de NOP colocados al azar y otras instrucciones no esenciales.
Todo esto puede frustrar un escáner de virus, que se basa en el análisis de una secuencia específica de bytes.
Un escáner de virus heurístico puede buscar otros signos de actividad de virus, como el código que está escribiendo el código, que normalmente no es algo que haría un usuario de la casa o la oficina. Y el bit NX puede habilitar la Prevención de ejecución de datos (DEP), que es un indicador de CPU que impide que una máquina ejecute un código de auto-modificación. Por supuesto, un ejecutable autocomprimido se incluye en esta descripción, por lo que tampoco es una solución perfecta.
Lea otras preguntas en las etiquetas malware antivirus antimalware