¿Puede un archivo de malware tener varios "valores de hash"?
Si ejecuta un algoritmo hash dado en un archivo dado, como resultado, siempre obtendrá un valor dado.
La única forma de obtener múltiples valores hash para un archivo determinado es mediante el uso de un algoritmo diferente (SHA-2 en lugar de MD5, por ejemplo)
Es común que el malware intente evitar la detección agregando datos arbitrarios al final de las copias, haciendo que el hash de cada copia sea único. Pero tenga en cuenta que en este caso, cada copia del malware seguirá teniendo un solo hash.
Para un algoritmo y archivo de hash dado, un hash es único. Es al revés: se puede generar un hash a partir de un número infinito de entradas de archivos, pero un solo archivo da un solo hash.
Tiene que ver con cómo funciona el hash; nada que ver con ser malware. Un hash es solo una función matemática (una entrada, una salida); no es lo suficientemente inteligente como para saber que la entrada es malware.
Cuando se habla de malware, la mayoría de las veces hay múltiples variantes del mismo malware. El funcionamiento del malware, la vulnerabilidad, la carga útil / shell son todos iguales. Solo se cambian algunas instrucciones con el fin de evitar la detección o comunicarse con un centro de comando y control diferente. Por lo tanto, una sola variante de una familia de malware siempre tendrá un solo hash (o firma). Si está hablando de diferentes variantes de una sola familia de malware, cada una tendrá un valor hash diferente.
Un archivo de malware puede tener un valor hash diferente en diferentes intervalos de tiempo. Como el malware opera automáticamente, el valor de hash del archivo puede cambiar como consecuencia de cualquier cambio en el archivo. Sin embargo, si los datos permanecen protegidos contra escritura, no se realizarán cambios y el valor hash del archivo de malware también seguirá siendo el mismo.