Stavo osservando la struttura tripartita di un virus e sembra controllare se un computer è infetto prima di infettarlo con il virus. Sarebbe un tentativo di utilizzare file già presenti per infettare, invece di trasferire un'altra copia del virus sulla macchina?
L'obiettivo della maggior parte dei malware è rimanere attivi il più a lungo possibile. Più a lungo può raccogliere sequenze di tasti, partecipare agli attacchi DDoS, reindirizzare i risultati di ricerca, inviare e-mail di spam, mostrare annunci popup, ecc., Più redditizio è per il creatore. Per raggiungere questo obiettivo, non deve essere rilevato.
Se un pezzo di malware infetta due volte una macchina, potrebbe lasciare la macchina in uno stato indefinito o causare conflitti. Potrebbe anche consumare più risorse del normale. Questo può portare al rilevamento attraverso una varietà di operazioni:
Meno risorse utilizzate e meno disturbi causati, minore è la probabilità che l'utente noti che qualcosa non va. Quando un utente nota che qualcosa non funziona correttamente, tenterà di risolverlo, il che potrebbe causare la rimozione del malware. Pertanto, è meglio che il creatore di malware prevenga questi problemi e rimanga nascosto.
Il primo worm Internet , nel 1988, ucciso da Internet (solo per un po 'di tempo, ovviamente) perché non ha controllato correttamente la sua presenza prima di installarsi di nuovo. Includeva un metodo euristico che non funzionava come credeva l'autore. Tutte le copie hanno intasato le reti e soffocato le macchine, il che non era affatto appariscente.
Un virus vorrà controllare la sua presenza prima di infettare per gli stessi motivi: per evitare di affogare il suo host sotto copie multiple di se stesso. Per diffondersi efficacemente, il virus non deve uccidere il suo host troppo velocemente (e lo stesso vale per i virus biologici, tra l'altro).
C'è nondimeno una sottigliezza. Ci sono alcuni semplicistici virus che danneggiano i file che infettano, scrivendo se stessi su qualunque istruzione fosse in quella posizione. Un tale virus potrebbe scrivere e riscrivere se stesso sullo stesso file senza ulteriori effetti negativi. Tuttavia, poiché il file originale è danneggiato, non funziona più correttamente, il che rende il virus meno invisibile e può richiedere all'utente di eseguire alcune operazioni di pulizia. Pertanto, i virus efficienti copia le istruzioni in giro nei file infetti, in modo che vengano comunque eseguiti. Il file infetto è necessariamente ingrandito nel processo. Se il virus infetta ripetutamente un file, il file potrebbe crescere senza limiti, riempiendo finalmente il disco rigido, nel vero senso del 1988.
È in parte una ragione aziendale piuttosto che una ragione tecnica. Una volta stavo leggendo un post sul blog che descriveva un punto vendita, ed è stato pesantemente sottolineato dalla persona che vendeva l'accesso a macchine infette (ai fini della trasmissione dello spam, del furto di informazioni sulle carte di credito, DDoS, ecc.) Che non avrebbe caricato più binari su ogni bot.
Più infezioni individuali hanno una macchina, maggiore è la probabilità che venga notata dall'utente e più è probabile che venga pulita. Vale la pena di volare sotto il radar.
Vorrei aggiungere, oltre alle altre risposte, che ci può essere molto più che controllare per vedere se I sto infettando la macchina due volte.
Vorrei, se in quel campo, verificare che la macchina non sia infetta da ALTRE cose così come dalla mia roba.
Più elementi vengono installati, più è probabile che la macchina si arresti in modo anomalo, che si avvii lentamente o che qualcosa causi una notifica al proprietario.
La rimozione preventiva dei prodotti della concorrenza, nonché la verifica di versioni precedenti del mio prodotto, contribuirebbero a mantenere il sistema al mio posto. Come accennato, l'obiettivo sarebbe quello di mantenere la CPU "mia". Ciò significa rimanere bassi e non attirare l'attenzione.
La macchina potrebbe rallentare, fino al punto in cui è inutilizzabile. Ad esempio, se un virus invia continuamente e-mail, altri programmi si rallenterebbero e la rete si saturerebbe e Internet rallenterebbe.
Se il virus è un file infector, corromperà un file infettandolo troppe volte.