Il malware autoeliminante è un codice malevolo progettato per rimuoversi dopo essere stato eseguito, oppure quando viene raggiunto un trigger. Può cancellare il proprio eseguibile, eliminare i file temporanei, svuotare le attività pianificate o terminare i processi correlati. L'obiettivo è ridurre le prove forensi, rallentare la risposta agli incidenti e rendere più difficile confermare cosa è stato eseguito e da dove.
Questo è importante perché i difensori spesso si basano su artefatti su disco, hash e cronologie dei file per identificare una compromissione. Se il malware cancella questi indizi, gli investigatori devono fare più affidamento sulla forensica della memoria, sulla telemetria dei processi, sui log degli endpoint e sui record di rete. Negli attacchi reali, l'autoeliminazione è spesso associata all'esecuzione in memoria, al sideloading di DLL o a loader di breve durata, così il payload iniziale lascia poche tracce. I team di sicurezza dovrebbero monitorare catene sospette di processi padre-figlio, caricamenti inattesi di DLL, creazione ed eliminazione rapida di file ed exit dei processi che avvengono subito dopo l'esecuzione.



