Sin duda uno de los virus que ha marcado este año, y continua haciéndolo, es "Hybris", a tu juicio, ¿es el virus que más batalla está causando a la comunidad antivirus hasta la fecha? ¿en qué medida dificulta la labor del antivirus que un virus utilice algoritmos criptográficos fuertes?

EK: Sí, es uno de los virus más difíciles de analizar y complicado para entender que hace el virus realmente en diversas situaciones. Por ejemplo, nadie podía descubrir el origen del spam de «alt.comp.virus» hasta el momento que desencriptamos los plugins de Hybris.

En realidad pienso que crear una vacuna es por lo menos 10 veces más rápido que crear un virus tan complejo... Se puede tardar años en diseñar y construir un coche, y un policía apenas tiene que agitar su mano para pararlo.

MU: Este gusano tiene la novedosa capacidad de actualizarse mediante plugins que él mismo descarga desde Internet. Mediante estos plugins el gusano es capaz de realizar nuevas acciones que no estaban incluidas en la versión original que lanzó su creador. Los plugins del Hybris están encriptados mediante un algoritmo similar al RSA, con clave de 128 bits. Si el autor del virus no hubiese tomado esta medida hubiera sido posible codificar un nuevo plugin capaz de desactivar automáticamente todas las copias del Hybris, en cuanto este se actualizase.

La encriptación fuerte es, por lo tanto, mas una medida de protección que una forma de dificultar su detección. Existen virus que, debido al uso de estas técnicas de encriptación, presentan más problemas que el Hybris, como por ejemplo el Crypto. Estas técnicas complican la detección, pero las técnicas de criptoanálisis dinámico y emulación de código máquina que utilizamos nos permiten neutralizarlos. Virus como el Kak, MTX o el FunLove han traído de cabeza a todas las compañías antivirus durante el 2000. Detectarlos y desinfectarlos correctamente ha sido mucho más complicado que en el caso de Hybris.