De las definiciones previas, se
deduce que, si un programa malicioso no se multiplica, no puede ser
un virus o gusano.
Pero no quiere decir que una aplicación antivirus no pueda detectarlo, o que no sea dañino.
No hay que perder de vista que aún cuando los desarrolladores protestaban ante la detección de objetos no multiplicativos porque no eran virus, algunos de estos elementos eran, de todos modos, detectados.
A veces, estos ni siquiera eran programas ejecutables, sino solamente “maliciosos”. [3]
Por ejemplo:
Muchos objetos no multiplicativos han circulado
por años en colecciones de virus con poco mantenimiento, que
han sido usados por algunos examinadores para evaluar las aplicaciones
antivirus.
La mayoría de los desarrolladores renunciaron a protestar
hace mucho tiempo, y agregaron definiciones
(firmas) para
estos objetos a sus bases de datos, con la esperanza de evitar
la penalización por no detectarlos.
Desafortunadamente, la sofisticación
creciente de la tecnología de análisis heurístico
apenas mantuvo el mismo ritmo que la habilidad de los evaluadores
de antivirus para encontrar métodos y técnicas
de prueba nuevos, y no siempre apropiados.
Más adelante, en
este documento, consideraremos brevemente las formas técnicamente
aceptables para evaluar las capacidades heurísticas
de un producto.
El código malicioso no multiplicativo más conocido
es Troyan Horse (Caballo de Troya), o
Troyano, para abreviar.
Un troyano es “un programa que aparenta
realizar alguna tarea necesaria o deseable, e incluso podría
llegar a cumplirla, pero también lleva a cabo otra función
o funciones que el individuo que ejecuta el programa no esperaría
ni querría que ocurriesen”. [5]
Esto
abarca un cierto rango de código malicioso especializado,
incluyendo:
Los códigos maliciosos multiplicativos, como los virus, también pueden ser descriptos como troyanos en algunas oportunidades (o como “troyanizados”, implicando que un programa originalmente legítimo ha sido subvertido, alterado o reemplazado para tornarlo dañino).
Sin embargo, la mayoría de las personas encuentran que ese
término tiende más
a confundir que a ayudar.
La detección de todas las versiones
de código malicioso no multiplicativo es aún menos
alcanzable que la detección de todas las formas de virus, pues
hay que probar un rango mucho más amplio de funciones que la
mera habilidad de replicación.
Gran parte del debate sobre qué es y qué no es un troyano no reside en su función, sino en su intención.
Por ejemplo, un registrador de pulsaciones tiene la misma función que un troyano, y sin embargo no se lo considera como tal si ha sido instalado de forma legítima,
o con el consenso del usuario.
Esto lleva a problemas de detección, porque los ordenadores son menos capaces que los humanos para determinar la intención
de un programa.
Los programas espía y la publicidad no solicitada han sido recientemente separados dentro de su propia subclase de código malicioso, quizá debido al alto interés de los medios, y de los productos exclusivamente disponibles para su detección.
Esta distinción es prácticamente innecesaria, a pesar
de que podría discutirse (y esto sucede a menudo) que la publicidad
no deseada en particular, no siempre es código
malicioso.
Sin embargo, el mismo argumento puede ser utilizado
para casi todos los ítems de la lista anterior, pues no es
lo que hace el programa lo que lo vuelve malicioso, sino la estrecha
distancia entre las malas intenciones del programador y las expectativas
del usuario de la aplicación.
Este
documento ha sido dividido en numerosas secciones para facilitar su lectura