Depende del virus y del tipo de archivo. Además, tenga en cuenta que un “virus” describe técnicamente una forma de malware autorreplicante; existen otras formas de malware que pueden ocultarse dentro de los archivos utilizando técnicas similares. Entonces:
Ejecutables: la mayoría de los archivos ejecutables son relativamente escasos: existen grandes diferencias entre el código legítimo y los datos por varias razones. Puede ser por razones de rendimiento, o para aprovechar las optimizaciones del compilador, o simplemente porque varios indicadores del compilador no se configuraron para reducir al mínimo el tamaño de salida. Algunos virus aprovechan esto e insertan sus instrucciones en estos espacios, lo que cambia el hash resultante del archivo (tenga en cuenta que un hash diferente significa que el contenido es diferente, no solo que el tamaño del archivo ha cambiado). Al secuestrar el punto de entrada del programa para ejecutar el código del virus antes o en lugar del código legítimo, se puede ejecutar un virus cuando se inicia la aplicación.
Tenga en cuenta que en este caso, los archivos ejecutables incluyen cosas como archivos DLL: son esencialmente ejecutables de Windows que exponen funciones, en lugar de ser aplicaciones independientes. Existen algunas diferencias técnicas, pero en términos de infección, son bastante idénticas: simplemente secuestra una llamada y haz que apunte a tu código en lugar del original.
- ¿Cuáles son las amenazas de seguridad informática más graves que se avecinan en el futuro cercano?
- Cómo instalar Norton Antivirus
- ¿La mayoría de los hackers de la red son atrapados o permanecen sin descubrir?
- ¿Cómo podemos recuperar datos si estamos afectados por el virus WannaCry?
- En términos simples, ¿cuál es la diferencia entre malware y virus informáticos?
Los ejecutables de Linux son muy similares, ya que tienen un espacio vacío, pero el sistema de archivos también puede intentar imponer reglas sobre si los archivos específicos se tratan como “ejecutables” o “datos”, lo que puede complicar un poco el problema.
Archivos de datos: algunos archivos de datos, especialmente archivos multimedia (imágenes, sonidos, videos), utilizan una estructura de bloques, donde se almacenan varios tipos distintos de datos en bloques distintos. Por ejemplo, un archivo PNG consta de, como mínimo, tres “fragmentos”: un encabezado, los datos de la imagen y un marcador de final de archivo. En estos archivos, a menudo es posible agregar bloques adicionales utilizando la forma correcta y agregar datos arbitrarios: en un archivo PNG, esto podría agregar un fragmento “iTXt”, que es solo un bloque de texto Unicode.
Sin embargo, los archivos de datos generalmente no pueden ejecutarse por sí mismos, por lo que normalmente también habrá un archivo ejecutable modificado o una falla específica en una aplicación de procesamiento. Por ejemplo, si hubiera una herramienta de procesamiento de imágenes de línea de comando que tomara una carpeta de imágenes y las procesara de alguna manera, podría ser que se encontrara una falla que al proporcionar un archivo de entrada específico agregara datos a todos los archivos en el carpeta procesada después del archivo “malvado” haciendo que se comporten de la misma manera. Esto podría clasificarse como un comportamiento similar a un virus, pero no cumpliría con algunas definiciones de virus informático.
Para algunos tipos de archivos, también es válido agregar datos después del contenido legítimo del archivo. Por ejemplo, los archivos JPEG aún pueden funcionar si simplemente les agrega archivos de texto, exactamente como su imagen mental. Esto podría ser utilizado por un virus, pero debido a la falta de capacidad de ejecución, es poco probable que sea la única parte de un virus.
Otras formas de malware utilizan técnicas similares: hay familias enteras de malware que se insertan en archivos PHP y luego se ejecutan cuando alguien accede a la página relacionada. El ransomware a menudo se distribuye secuestrando archivos Javascript y agregándoles código malicioso. Sin embargo, en estos casos, el código generalmente no se autorreplica, por lo que no cumple con todos los detalles técnicos de ser un virus.