Fred Cohen en 1986 ha demostrado en su Ph.D. Tesis sobre la indecidibilidad de la detección viral (nunca puede existir un comprobador de virus perfecto).
Mi pregunta es: ¿es posible que un malware permanezca mucho tiempo (o para siempre) bajo el radar (no se puede detectar) para la industria antivirus?
Obviamente, puede permanecer sin ser detectado durante mucho tiempo, ya que hay varios casos famosos de malware que tienen una duración de varios años.
La clave es el sigilo. Cuanto más se extienda el malware, mayores serán las probabilidades de que se descubra. Cuanto más daño cause el malware, más rápido buscará la víctima para repararlo.
El malware más exitoso se niega a propagarse a las víctimas involuntarias, y se niega a causar daños a las víctimas involuntarias. Los escritores de malware no utilizan las vulnerabilidades comunes que utilizan otros atacantes. Y guardan celosamente sus secretos.
Por cada innovación que pueda lograr para trabajar hacia la indetectabilidad, hay miles de investigadores de seguridad que trabajan para descubrir sus métodos. Cuanto más sofisticados sean sus métodos, más sofisticada será la respuesta. Esta es verdaderamente una espiral contraproducente para ambos lados. Pero, hay un "final" teórico donde uno crea el malware "perfecto".
El problema es con la paradoja que uno crea. El virus más perfectamente indetectable es uno que nunca se propaga y no hace nada para modificar su host. Pero, por su propia naturaleza, un virus se propaga y afecta a su huésped. Y, una vez que un virus actúa, puede ser detectado.
El otro enfoque posible es filosófico: "El mejor truco del diablo es persuadirte de que no existe" (Charles Baudelaire). Es posible crear malware que hace todo lo que el malware hace, pero el usuario lo acepta como legítimo. De esta manera, el escritor de virus logra su objetivo, y el virus permanece "no detectado".
Es completamente posible. Hay muchos ejemplos de esto, especialmente algo como Stuxnet, que supuestamente se encontró en estado salvaje en 2005 y no se tuvo en cuenta, pero fue encontrado en 2010.
Algunos antivirus anteriores irían con firmas y permitirían cosas como virus polimórficos. Esto no es tan común últimamente, como lo han desarrollado las heurísticas y otras tecnologías.
En general, depende de los programas y las circunstancias. El atacante, naturalmente, siempre estará unos pasos por delante.