Un virus “blindado” es un tipo de malware diseñado para dificultar al máximo su detección, incluso aumentando la cantidad de código (es decir, “armadura”). Al mismo tiempo, la funcionalidad maliciosa de dicho virus puede ser primitiva. La variedad blindada es una virus polimórficos.
Auditoría de seguridad de la información
Los principales esfuerzos del creador del virus blindado tienen como objetivo dificultar que el software antivirus lo analice para que el código del virus no ingrese a las bases de datos de firmas. La mayoría de los virus blindados modernos utilizan varias tecnologías de reserva. El conjunto básico incluye:
- ofuscación, u ofuscación de código: creación de código redundante, a menudo no escrito en el lenguaje, pero funcional que dificulta el análisis;
- tecnología sigilosa: el virus oculta su presencia en el sistema operativo interceptando los mensajes del sistema;
- Polimorfismo: la capacidad de un virus para cambiar el código de un “descendiente” con cada nueva infección mediante cifrado.
La ofuscación es la característica principal de un virus blindado, lo que implica, entre otras cosas, un aumento en el tamaño del programa. Por ejemplo, uno de los primeros virus de este tipo Ballena (“Ballena”), que apareció en 1990, “pesaba” más de 9 kB. Para ese momento, era uno de los virus más graves.
Una de las variedades de virus blindado es un virus metamórfico. Al igual que polimórfico, este tipo modifica su código, pero sin la ayuda del cifrado. Las modificaciones pueden ser en forma de insertar fragmentos de “basura” en el código fuente, cambiar las instrucciones básicas: códigos de operación, reemplazar bloques completos de código. Los metamorfos también pueden mezclar su código con el código de un programa infectado; esto se denomina “empalme”.
Fuentes de infección: archivos adjuntos de correo electrónico y sitios infectados.