Bueno mi pregunta fue resacosa, y por simple curiosidad, pero me llama la atencion el planteamiento.
supongo que una forma de plantear el desarrollo de un virus maligno, seria que en primer lugar no se detectase. eso es facil debido al sistema de firmas que utilizan los antivirus (cualquier ejecutable recien compilado).
luego continuariamos con lo que debe de hacer nuestro elemento. Las ordenes de modificacion de tablas de fat o acceso a zonas de memoria exoticas , usurpacion de hilos de ejecucion, modificacion de librerias, escritura en el registro etc, suelen estar monitorizadas, pero las ordenes de ejecucion sencillas no!
asi que si el bichito en cuestion se limitase a esas ordenes, abrir fichero ejem(*.doc) buscar caracter ('x') y reemplazar('Y') cerrar fichero. tendriamos un programita que tocaria mucho las narices.
luego esta lo de "copiarse" eso es facil, y lo de la ocultacion eso tambien es facil (windows es largo), pero una de las cosas basicas, seria que comprobase si el usuario es "Admin" si no lo es mejor que el bicho no hiciese nada y se quedase en algun "sitio?" a la espera de mejores oportunidades, esta idea no es nueva ya que vi algo en algun sitio parecido.
y una vez que algun "admin" iniciase sesion, la puerta esta abierta!
lo de la modificacion de "Docs" se basa en la presmisa de generar una corrupcion de datos a largo plazo, lo cual tecnicamente causa mucho mas daño que el "cuelge del sistema" ya que corrompemos la informacion de las copia de seguridad.
pero todo esto no es nuevo, y los antivirus no pueden monitorizar de formar heuristica las ordenes sencillas, ya que estas aparecen como inofensibas enla pila de ejecucion.
"Pero esto es solo una reflexion resacosa"
