Это способ ухода от _визуального обнаружения.
Человек ищет но не видит. А вот программы типа uVS видят...
17) Нормальный файл должен взаимодействовать с пользователем - отображать меню, показывать иконки\значки, текстовые комментарии.
Вирусу как правило это не нужно т.е. файл не будет содержать лишней нагрузки\информации.
Смотрим Инфо. в uVS
Или работаем с доп программой типа: Resource Hacker
Чем больше вирус содержит информации тем проще антивирусу его опознать - зацепиться за некий повторяющийся от вируса к вирусу ресурс.
Да и вес вируса важен. ( быстрее можно загрузить\запустить )
18) Вирус старается работать\запускаться с максимальными правами - чтобы иметь возможность вносить изменения в работу системы.
Может сам себя защищать от удаления\изменения\выгрузки из оперативной памяти\защищает ключи реестра. ( что не типично для обычной программы )
Файл вируса как правило упакован - чтобы затруднить его анализ. ( есть бесплатные программы с открытым исходным кодом которые легко читаются )
19) Должен производиться _комплексный анализ.
т.е. каждое отдельно взятое значение возможно не несёт угрозы...
Но определённое их сочетание...
по сути А+В+С = угроза.
20) Скопирую часть своей статьи с pchelpforum.ru
Поговорим о проверке файла.
------
Как проверить файл...
На первый взгляд это просто.
Как правило файл проверяется на сервисе: https://www.virustotal.com/
Вот вы нашли файл и проверили...
Файл судя по результату проверки чист...
Но так, ли это на самом деле ?
-------
После проверки файла откройте вкладку: Дополнительные сведения.
Найдите:
First submission 2015-09-18 06:48:14 UTC (2 недель, 4 дней назад) ( впервые файл загружен\проверен дата... )
Last submission 2015-10-03 08:28:23 UTC (3 дней, 9 часов назад)
По этой записи\дате вы можете видеть проверяли, ли файл раньше, или нет.
О файле говорит его история...
Если файл проверяли месяц, или год назад и проверили сейчас - и по результату проверки чисто...
то и сам файл с вероятностью близкой к 100% чист.
Файлы проверяют в антивирусных компаниях, а на это нужно время...
--------
Также важное значение имеют поля:
Publisher ( Издатель\производитель продукта )
Например это Nero AG
и
поле Signature verification ( Проверка электронно цифровой подписи ) ( ЭЦП ) )
на вкладке: Сведения о файле.
Такому _подписанному _известным поставщиком файла\у - также можно доверять.
--------
Но когда файл подписан неизвестным вам издателем стоит задуматься и найти доп. информацию.
Что модно сделать ?
Для примера возьмём файл программы Nero: NeroStartSmart.exe
Проверка на V.T: https://www.virustotal.com/gui/file/417b7c070eb8feeca5026deba6fd09de774ca87bb21ed37
Но нам этого показалась мало и мы решили получить дополнительные сведения.
На вкладке: Дополнительные сведения
копируем данные по SHA1 файла ( к примеру) это: 7b5ea21e40c30879a129045978e3b0a5f089eaee
------------------------------
Часто бывает так, что часть файлов производителя чисты, а часть представляют ( могут представлять ) опасность.
Вот и получается, что паренёк то хороший...
но вот его семейство плохое...
Поэтому стоит задуматься о целесообразности присутствия паренька на вашем PC.