Malware modding consiste en una serie de técnicas que van a dificultar la detección de software malicioso del que hagamos uso. Con software malicioso nos podemos estar refiriendo a un payload generado con Metasploit o a cualquier otro tipo de aplicaciones, como RAT (cybergate, DarkComet, etc). Partiendo de la premisa de que los antivirus funcionan con un motor de «heurística»” (analizan el contenido del fichero, y si coincide con su enorme base de datos, salta la alarma con la relación encontrada), lo que se va a hacer es cifrar y modificar nuestro malware para poder evadir dichas formas de detección.

La primera característica que debe contemplarse a la hora de crear un código malicioso va a ser las funciones que posea.

• Virus: ralentizan el funcionamiento de la máquina. El código de una fork bomb ejecutado en un fichero puede considerarse un tipo de virus.
• Gusano: su característica es la propagación utilizando un (o varios) exploit contra un determinado servicio remoto de las máquinas que funcionan en la red en la que trabaja la víctima.
• Ransomware: se encarga de cifrar el contenido accesible al usuario que ejecuta el fichero malicioso, algunos incluso imposibilitan el uso de la máquina remota hasta el pago de un «rescate».
• Spyware: espía el contenido de la máquina, sea en sus ficheros o interfaces de entrada y salida. Un keylogger sería un tipo de spyware.
• Rootkits: se encargan de ofuscar la detección de códigos maliciosos (como los citados previamente), intentan adquirir privilegios de administrador (root) y con ello ofuscar los procesos e incluso realizar más tareas maliciosas.

La segunda característica es el método de evasión. Ciertos ficheros maliciosos se ocultan en ficheros legítimos, pero adicionalmente existen métodos de evasión en la detección de motores A.V.

• Troyanización a un fichero legítimo.
• Cifrado mediante crypter.
• Modificación del código fuente para evitar parámetros sospechosos
• Creación de bucles y esperas en el proceso malicioso.
• Modificación de offset del fichero malicioso.

Un crypter es un programa cuya finalidad consiste en cifrar u «ofuscar» código malicioso mediante diversas técnicas con el fin de evitar la detección de software malicioso por parte de los motores antivirus.

Existen dos tipos de crypters:

• Runtime: el programa no es detectado por el motor antivirus al ser ejecutado.