Alcuni virus sono crittografati in modo che l'anti-virus non li identifichi, ma quello che non capisco è, perché non l'anti-virus non li rileva, considerando che devono decrittografarsi prima di correre, non avrebbe l'anti-virus capire codice malevolo in quella fase di decrittazione, prima che il virus possa essere eseguito?
Ci sono alcuni modi in cui il malware può crittografarsi per contrastare il rilevamento antivirus:
Ricava una chiave da specifiche informazioni di destinazione come hash di file noti, nomi utente e condivisioni di rete. Controlla la descrizione di Ars Technica di Gauss .
Encrypt stesso con una chiave casuale, ma relativamente breve. Quando il malware viene eseguito, dovrà forzare la chiave. Molte sandbox AV hanno un timeout sulla quantità di tempo che può essere eseguita da un particolare campione, se il processo di forza bruta richiede più tempo di questo timeout, il carico utile dannoso non verrà decrittografato.
Recupera la chiave da internet. L'utente malintenzionato può ospitare un server Web con la chiave su di esso. Potrebbero quindi utilizzare i tempi, le informazioni IP oi parametri basati sul client per determinare se la chiave deve essere inviata.
Naturalmente, per eseguire il payload crittografato, il malware deve essere decrittografato. Se è decrittografato, l'antivirus può rilevarlo, ma il malware potrebbe rilevare prima l'AV.
Infine, il meccanismo di disporre di un payload crittografato utilizzando chiavi basate su host, casuali o basate sulla rete può essere utilizzato come firma per il malware. L'AV potrebbe non sapere cosa avrebbe fatto l'esempio, ma potrebbe impedirne l'esecuzione.
Leggi altre domande sui tag encryption virus detection