Afin de rendre difficilement détectable les malwares, ceux-ci sont modifiés. Cette modification s’appelle une « obfuscation de code », cela pourrait être vu comme un « maquillage ». Cette pratique est légale en soit, elle est utilisée pour la protection des logiciels. Dans le cas des malwares, il s’agit de les rendre difficilement détectable par les antivirus. Si nous utilisons un chiffrement asymétrique, le pirate aura juste à changer la clé de chiffrement pour modifier le code du malware. Si nous prenons le cas d’un malware dont la signature numérique est :

• je_suis_un_malware

L’antivirus va vite détecter ce malware en analysant le fichier. Maintenance, le pirate va utiliser un chiffrement symétrique ‘XOR’ (OU exlusif). Donc le pirate va « obfusquer » le code une première fois avec la clé « 10011 », la signature obtenue sera :

• zd^cthc^t~^lqmvqsd

Et il pourra le modifier autant de fois qu’il le veut, si je change la clé par « 2f3c », la nouvelle signature sera :

• EYpOZU\cZRpQNPX]]Y

C’est donc pourquoi les mises à jour des antivirus sont importantes. Un malware pour être modifié X fois, mais la base de l’infection reste la même.