¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Los matados anteriormente

Consultas: 639 Comentarios: 2 Ranking: 9

miércoles, 26 de julio de 2017

A veces el mismo virus o troyano se detecta por el antivirus en un equipo periódicamente, hasta si el usuario lo elimina. Los usuarios hacen preguntas sobre las causas de este fenómeno tanto en varios sitios web de Internet como en solicitudes enviadas al servicio de soporte técnico de Doctor Web. Hay varias razones para hacerlo. Vamos a empezar por las tradicionales.

  • El archivo nocivo puede estar ubicado en un dispositivo extraíble / en la carpeta / en el disco duro excluido del escaneo por el usuario. Para resolver el problema, todos los discos y dispositivos extraíbles sin excepción deben ser escaneados por el escáner antivirus o por la utilidad Dr.Web CureIt! Usando la unidad de arranque Dr.Web LiveDisk.
  • El archivo nocivo puede estar en otro equipo de la red local y penetrar a través de las carpetas abiertas para escritura. Para resolver el problema, en caso de volver a detectar el programa nocivo en el mismo equipo, se recomienda escanear con el antivirus todos los equipos del entorno de red.
  • El archivo nocivo se restaura automáticamente a partir de la copia de seguridad. El sistema operativo Windows tiene un sistema de recuperación automática, pero para crear archivos no están previstos los procedimientos de escaneo antivirus. Si el archivo nocivo anteriormente eliminado borra un componente importante del sistema, el SO puede intentar restaurarlo — y el virus será detectado por el antivirus durante la recuperación. En este caso, el escaneo completo del sistema con un escáner antivirus podrá resolver el problema.
  • Los errores de configuración de la protección antivirus. El caso más típico es el uso solo de un escáner antivirus para la protección. En este caso, los archivos desinfectados se infectan por el virus que está funcionando, durante el escaneo.

Con mucha frecuencia, el equipo vuelve a ser infectado por los así llamados virus de arranque — los bootkits capaces de modificar el registro de arranque del equipo. Por ejemplo, Trojan.GBPBoot.1 consiste en varios módulos. El primero modifica el registro de arranque principal (MBR) en el disco duro del equipo, y luego escribe al final de la sección apropiada (fuera del sistema de archivos) un módulo del instalador de virus, un módulo de recuperación automática del troyano, un archivo archivado con el archivo explorer.exe y el sector con los datos de configuración. Luego guarda el instalador de virus en la carpeta del sistema, lo inicia, y borra su propio archivo.

Si por alguna razón se borra el archivo del servicio nocivo (por ejemplo, al escanear el disco por un programa antivirus), funciona el mecanismo de autorecuperación. Usando el registro de arranque modificado por el troyano, en el momento de inicio del equipo, se inicia el procedimiento para comprobar si en el disco hay un archivo del servicio de sistema nocivo. Si no lo hay, Trojan.GBPBoot.1 sustituye el archivo estándar explorer.exe por el suyo que contiene “la herramienta de autorecuperación”, y luego se inicia al mismo tiempo que el SO Windows. Al obtener permisos de administración, la copia nociva de explorer.exe vuelve a iniciar el procedimiento de infección, y luego recupera e inicia explorer.exe original.

https://news.drweb.ru/?i=2927&c=23&lng=ru&p=0

  • El archivo nocivo se detecta por el antivirus, pero no puede ser borrado porque no hay permisos necesarios de acceso a este archivo (para saber más sobre las causas, consulte la edición «El pescado se estropea por la cabeza y el smartphone – por la raíz») o si hay errores durante la desinfección cuyas notificaciones habían sido ignorados por el usuario.

Las situaciones similares surgen no solo en los equipos que funcionan bajo la administración de Windows, sino también en dispositivos móviles. Así, por ejemplo, como los troyanos de la familia Android.Loki guardan una parte de sus componentes en las carpetas de sistema del SO Android que no pueden ser accedidos completamente por los sistemas antivirus, al detectar en el dispositivo cualquiera de estos programas nocivos, el modo óptimo de corregir las consecuencias de la infección es sustituir el firmware del dispositivo usando la imagen original del SO.

http://news.drweb.com/show/?c=5&i=9822&lng=ru

#troyano

El mundo de antivirus recomienda

  • Lamentablemente, un antivirus no puede detectar todos los programas nocivos más nuevos (es decir, 100%). Por eso, para menor probabilidad de penetración de los mismos, debe restringirse los permisos de usuarios que trabajan en el equipo. Un usuario que NO tiene permisos de administrador no podrá iniciar todos los equipos y el único modo que tendrá para iniciar un troyano es usar vulnerabilidades. La restricción de permisos del usuario reduce el peligro de infección, por ejemplo, a través de ataques phishing.
  • El escaneo antivirus completo del sistema debe realizarse regularmente y, así mismo, deben ser instaladas las actualizaciones críticas para todos los programas usados (¡no solo de antivirus!)

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios