El malware sin archivos es una variante de software malicioso relacionado con la computadora que existe exclusivamente como un artefacto basado en la memoria de la computadora , es decir, en la RAM .
No escribe ninguna parte de su actividad en el disco duro de la computadora, lo que significa que es muy resistente a las estrategias forenses anti-computadora existentes que incorporan listas blancas basadas en archivos, detección de firmas, verificación de hardware, análisis de patrones, sellado de tiempo, etc. y deja muy pocas pruebas que puedan utilizar los investigadores forenses digitales para identificar actividades ilegítimas.
Como el malware de este tipo está diseñado para funcionar en la memoria, su longevidad en el sistema existe solo hasta que se reinicia el sistema .
El malware sin archivos a veces se considera sinónimo de malware en memoria, ya que ambos realizan sus funciones básicas sin escribir datos en el disco durante la vida útil de su operación. Esto ha llevado a algunos comentaristas a afirmar que esta cepa variante no es nada nuevo y simplemente una "redefinición del término conocido virus residente en la memoria", [1] cuyo pedigrí se remonta a la década de 1980 con el nacimiento del virus Lehigh. que fue desarrollado por el creador del término, Fred Cohen , y se volvió influyente con su artículo sobre el tema. [2]
Sin embargo, esta sinonimia es incorrecta. Aunque el entorno de ejecución de comportamiento mencionado anteriormente es el mismo, en ambos casos, es decir, ambas variantes de malware se ejecutan en la memoria del sistema, la diferenciación crucial es el método de inicio y prolongación. La mayoría de los vectores de infección de malware implica escribir algo en el disco duro, [3] para que se ejecute, cuyo origen podría tomar la forma de un archivo adjunto infectado, un dispositivo de medios externo, por ejemplo, USB, periférico, teléfono móvil, etc., unidad del navegador. -por canal lateral, etc.
Cada uno de los métodos antes mencionados tiene que tener contacto con el disco duro del sistema host, de una forma u otra, lo que significa que incluso cuando se emplean los métodos anti-forenses más sigilosos, alguna forma del residuo infectado quedará en el medio host.