* Expotes de día cero: Los troyanos a medida a menudo se crean específicamente para un solo objetivo o un pequeño grupo de objetivos. Esto significa que son nuevos, y el software antivirus no ha tenido la oportunidad de desarrollar firmas o heurísticas de detección para ellos. Estas se denominan amenazas de "día cero". Antivirus se basa en firmas de malware conocidas (como huellas digitales) o análisis de comportamiento para identificar amenazas. Una pieza de malware completamente nueva no tiene una firma conocida.
* Ofuscación y polimorfismo: Los troyanos a medida sofisticados a menudo emplean técnicas para ocultar su código malicioso. Esto podría implicar cifrado, embalaje o polimorfismo (la capacidad de cambiar su código sin cambiar su funcionalidad). Estas técnicas hacen que sea mucho más difícil para el antivirus analizar y detectar el malware.
* Técnicas de evasión: Los autores de malware están desarrollando constantemente nuevas formas de evadir la detección por el software antivirus. Pueden usar RootKits para ocultar su presencia o explotar vulnerabilidades en el sistema operativo o el software antivirus en sí.
* Limitaciones heurísticas: Si bien el análisis heurístico (analizar el comportamiento de un programa para determinar si es malicioso) es poderoso, no es infalible. Un troyano a medida bien elaborado podría comportarse engañosamente, imitando un software legítimo para evitar la detección.
* Análisis limitado de sandbox: Incluso si un programa antivirus analiza el troyano en un entorno de sandboxed, el atacante podría haber diseñado el malware para ejecutar solo código malicioso en circunstancias específicas no replicadas en el sandbox.
* Centrarse en amenazas comunes: Las empresas antivirus priorizan la detección y la protección contra brotes generalizados de malware. Dedican recursos a identificar y combatir las amenazas más frecuentes, lo que a menudo deja menos atención enfocada en troyanos altamente específicos y a medida.
En resumen, los troyanos a medida están diseñados para ser esquivos y difíciles de detectar. Confían en el conocimiento del atacante sobre las vulnerabilidades de software de seguridad y explotan las limitaciones de los métodos de detección existentes. Si bien el antivirus es una herramienta valiosa, no es una solución perfecta, especialmente contra ataques altamente específicos.