Penso che ogni AV-Scanner stia utilizzando una scansione ricorsiva prevedibile per cercare i file per il malware. Il malware non è in grado di rilevare facilmente una scansione e spostarsi in una posizione già controllata, determinata dalla conoscenza degli algoritmi utilizzati da AV-Scanner?
Esistono meccanismi predisposti da AV-Scanner per prevenire un simile comportamento?
Inoltre, non è stato possibile rimuovere un rootkit durante una scansione e ripristinarlo al termine della scansione?
La ragione principale per cui il malware non può eludere l'AV in questo modo è perché lo scanner in accesso lo catturerà.
Dal punto di vista dell'AV, il malware che si sposta su file diversi è lo stesso problema dei nuovi file creati durante la scansione. Una soluzione molto semplice è che l'AV tenga traccia dei nuovi file creati (inclusi i file correnti rinominati). Questo viene fatto agganciando l'API del sistema operativo o altri hook di livello inferiore.
In teoria, un rootkit perfetto sarà invisibile a un AV. Per aumentare i rischi dell'AV contro i rootkit, AV si avvia molto presto nella sequenza di avvio, utilizza modalità di comunicazione di basso livello per il sistema operativo e l'hardware e monitorerà l'attività di manomissione su se stesso. Inoltre, la prima fase di una scansione è su processi attivi e file binari di sistema. Questo è fatto soprattutto perché il malware in-memory può giocare trucchi come hai detto tu.
Ricorda inoltre che qualsiasi attività strana sul lato del malware, come lo spostamento di file, il salto attraverso la memoria di diversi processi e l'utilizzo di metodi simili a rootkit attireranno solo l'attenzione perché il software legittimo non avrà tale comportamento. Uno strano comportamento verrà contrassegnato dall'euristica AV e questo potrebbe aiutare a rilevare il malware o il file binario potrebbe essere caricato sui server AV per ulteriori analisi e controlli incrociati.
Alcuni AV eseguono scansioni di "ricerca lineare" mentre altri lo fanno in modo casuale (ad esempio AVG). Ma nascondere un virus con una tale strategia di nascondino non è l'approccio migliore dal momento che porterebbe troppa complessità al suo sviluppo. Esistono alcune categorie di virus come la furtività (intercettazione di chiamate dal sistema operativo e restituzione di risposte false o invalide), crittografia (rimescolando i loro sé per evitare il rilevamento) o cavità (che viene incorporata in un file senza modificarne le dimensioni o il formato) che meglio affrontare l'evasione.
Gli AV funzionano in due modi diversi. Uno è basato su modelli noti di virus precedentemente identificati. L'altro si basa sul controllo "euristico": ricerca di tipi di comportamento di sistemi dannosi / non comuni / inaspettati.
Un rootkit è diverso da un virus poiché è un tipo di malware che viene attivato prima che il sistema operativo si sia completamente avviato. I rootkit in genere hanno accesso privilegiato al sistema operativo. Quindi un AV non è l'arma giusta contro i rootkit.
Questo è del tutto possibile, anche se il virus dovrebbe avere un modo per dire cosa sta facendo lo scanner AV (dato che molti eseguono costantemente, indipendentemente dal fatto che stiano effettuando la scansione). Sarebbe inaffidabile, specialmente rispetto ad altre tecniche come l'occultamento dell'eseguibile.
Un rootkit può nascondersi completamente dal sistema operativo infetto - per quanto riguarda il tuo computer, non esiste. Ciò rende molto difficile individuarli con applicazioni antivirus standard.
Leggi altre domande sui tag antivirus antimalware