Actualmente estoy estudiando técnicas de replicación de malware para recopilar información para codificar un antivirus. ¿Podría un malware (si se ejecuta) crear un duplicado de sí mismo en el directorio de inicio con el atributo de archivo oculto para que sea más difícil de detectar por los usuarios y, de ser así, cómo lo lograrían en el código?
Sí, con la vulnerabilidad y el privilegio adecuados, un malware que intenta ocultarse de la detección incluso por programas de seguridad se llama rootkit.
Pueden hacerlo modificando el propio sistema operativo o, a veces, el firmware en el hardware, de modo que el sistema operativo y el hardware se encuentren en manos del usuario y otros programas. Por ejemplo, un rootkit puede reemplazar el código en el kernel que devuelve la lista de directorios para excluir sus archivos.
En general, un rootkit tendría que obtener de alguna manera privilegios de administrador primero para que se instalen con la suficiente profundidad como para que no se puedan detectar, generalmente a través de otras vulnerabilidades o engañando al usuario para que lo ejecute con privilegios de administrador.
Sin embargo, los malware que se ejecutan a este nivel de sigilo son muy raros, ya que son difíciles de escribir y la mayoría de los malware son lo suficientemente exitosos incluso cuando no son tan sigilosos.