¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Mentiras sobre antivirus

Антивирусная неправда

Otras ediciones de este tema (40)
  • añadir a favoritos
    Añadir a marcadores

¿Pueden los troyanos tener miedo?

Consultas: 1157 Comentarios: 2 Ranking: 8

martes, 8 de agosto de 2017

Los virus atacan – el antivirus los destruye y, así mismo, ralentiza el equipo – el usuario se enfada y desea deshacerse del antivirus. Si los programas nocivos simplemente tuvieran miedo de acercarse al equipo y, al penetrar en el mismo, desaparecieran automáticamente. Suena fantástico, pero…

Un medio de protección contra programas nocivos es un sandbox (espacio aislado). Es un arma aislada que aísla algún programa de todos los demás. Por ejemplo, al hacer clic sobre un enlace para abrir un archivo, el mismo se inicia sin acceso a los archivos básicos del sistema – todo lo necesario para su inicio se le ofrece automáticamente, pero hay restricciones para lo demás. Hay muchas opciones de realización de este mecanismo. Por ejemplo, se puede iniciar cada nuevo archivo en una máquina virtual separada. Este modo requiere muchos recursos, pero en caso de analizar archivos nocivos puede ser aplicado.

La desventaja del sandbox es que el mismo tiene sus peculiaridades (y es por eso que los laboratocios antivirus no informan sobre su trabajo interno: al percatarse de estas peculiaridades, los malintencionados podrán esquivar los sistemas del análisis automático). En caso de enterarse de estas características, un programa nocivo podrá detectar su propio inicio en un sandbox y ocultarse.

El módulo de instalación de un troyano tiene funcionalidad que permite detectar un intento del inicio del programa nocivo en el entorno de depuración o en una máquina virtual para que los expertos tengan más dificultades al analizarlo. Así mismo, se realiza una comprobación de ejecución del «sandbox» Sandboxie en un entorno aislado — una utilidad para controlar el funcionamiento de varios programas.

http://news.drweb.com/show/?c=5&i=4055&lng=ru

Una vez iniciado, BackDoor.Tishop.122 comprueba el entorno en busca de un «sandbox» o una máquina virtual...

http://news.drweb.com/show/?c=5&i=5821&lng=ru

¡Y aparece una idea!

Un modo original de protección contra el malware es la emulación de este sandbox en su propio PC.

Para emular un sandbox en su propio equipo es necesario:

  1. Cambiar la dirección Mac de la tarjeta de red por una dirección del rango VMware. No dañará nada, y el malware pensará que está dentro de una máquina virtual y desaparecerá.

    HKLMSYSTEMCurrentControlSetControlClass{4d36e972.....}[Carpeta del adaptador de red]

    Добавьте ключ NetworkAddress со String переменной 005056XXXXXX

  2. Instalar este script. Copia ping.exe de la carpeta del sistema Windows al directorio TEMP, cambia su nombre por docenas de otros nombres y lo inicia con claves "ping 1.1.1.1 veces por hora".

    Aquí puede consultarse un listado de procesos que Vd. recibirá en su sistema como resultado: "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe"

Estos procesos están en la memoria, pero casi no gastan memoria ni recursos. Si el malware desea recibir un listado de procesos iniciados en su sistema, vera un conjunto de los medios de depuración capaz de asustar hasta a un administrador de sistemas experto.

http://www.securitylab.ru/blog/personal/itsec/342068.php

Pero en realidad surgen varios problemas. Por ejemplo, los troyanos pocas veces comprueban el entorno en busca de un sandbox: simplemente no tienen miedo a nada.

Segundo problema: en vez de autodestrucción, los troyanos pueden esperar un rato mientras se realice la comprobación en el sandbox, y luego empezar su actividad nociva. Muchas veces los troyanos en Android se comportan así – actúan con retraso para que los usuarios no vinculen la actividad nociva con un programa recién descargado.

Y lo último: en caso de aplicar con frecuencia este modo, los malintencionados simplemente tomarán en cuenta esta característica también.

Por supuesto, esta protección no puede considerarse segura.

http://www.securitylab.ru/blog/personal/itsec/342068.php

#troyano #backdoor #tecnologías

El mundo de antivirus recomienda

Muchos piensan que es posible no usar un antivirus en caso de aislar su equipo de Internet completamente o al apagarlo. Pero luego resulta que también se puede administrar un PC apagado y hay un troyano en el equipo aislado. ¿Cree que esto no pasa nunca? Siga las ediciones del proyecto “El mundo de antivirus”.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios