¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Cocina

Кухня

Otras ediciones de este tema (37)
  • añadir a favoritos
    Añadir a marcadores

Los agentes fronterizos están atentos

Consultas: 761 Comentarios: 7 Ranking: 13

miércoles, 13 de mayo de 2020

Los malintencionados ya aprendieron a esquivar los medios de protección tradicionales. Por ejemplo, para esquivar los antivirus ofuscan el código malicioso y lo firman con un certificado legal.

Fuente

El autor de esta edición parece perfeccionista, si tomamos en cuenta su frase “para esquivar los antivirus ofuscan el código malicioso”, completamente incorrecta, pero frecuentemente usada en varios contextos.

Lo que pasa es que en este caso dos posibilidades de omitir un programa malicioso son posibles. Primera: el software virus está escondido en un servicio no controlado por el antivirus (hace mucho existía un concepto que hacía lo siguiente: un núcleo del procesador servía solo para el mismo). Segunda: el programa malicioso conocido para el antivirus se modifica para que la nueva firma no sea la misma que la antigua. Para realizarlo, se puede comprimir el archivo, ofuscarlo (mezclar el código) etc. Este segundo enfoque se llama esquivación.

Pero en realidad no sucede eso. El antivirus detecta un programa con una firma modificada, pero, al comprobar el código, no reacciona. Al parecer, el resultado siempre es el mismo, la omisión. Pero no es así.

Primero, la no detección de la nueva modificación del programa conocido se resuelve fácilmente al actualizar las bases de virus rápidamente, sin que el usuario lo note. Pero el nuevo método de control es la nueva versión del antivirus que requiere actualización del mismo. Y los usuarios no desean hacerlo (y no lo hacen).

Segundo. Lo que pasa es que las modificaciones del código del programa “engañan” a los métodos de comprobación usando las bases de virus. Pero después de esta comprobación el programa malicioso sigue siendo controlado por el antivirus. Luego funciona el control de comportamiento del mismo, la Protección preventiva.

No tiene bases de firmas ordinarias, aunque las actualizaciones se lanzan, pero con menor frecuencia que las de las bases antivirus. Así mismo, no se actualizan las bases de virus, sino los algoritmos de la protección preventiva y análisis de comportamiento de los procesos, las bases de aplicaciones de confianza.

Podemos decir que la Protección preventiva supervisa algunas áreas del sistema y todos los procesos ejecutados, la secuencia de ejecución de todo. Quién lo ejecuta, qué procesos principales y subordinados se ejecutan al iniciar algún archivo, de donde y por quién ha sido iniciado el archivo etc. Es un mecanismo bastante complejo con un enfoque integral, destinado para bloquear la implementación del código malicioso en el sistema, que no puede ser detectado por un antivirus de firmas estándar.

No puedo dar información detallada porque, primero, es secreto de la empresa, y, segundo, hay demasiados algoritmos y son muy distintos, no se puede describirlos.

También hay detalles.

Un supuesto inicio del archivo .bat puede no ser detectado, si Vd. simplemente lo ha descargado al equipo, copiado a alguna carpeta y luego lo ha iniciado como administrador. Es decir, la secuencia de acciones confirma que el administrador mismo realiza todas las manipulaciones con el archivo indicado y supuestamente se entera de sus características, al manipular el objeto.

Así mismo, este archivo .bat puede ser detectado en caso de ser cargado en una carpeta temporal del sistema por alguna tarea e intentar ser iniciado desde la misma. En este caso, el comportamiento de este tipo es sospechoso y puede ser detectado como malicioso, en función de las acciones posteriores.

Es decir, lo importante no es solamente lo que Vd. inicia, sino también cómo lo hace. Y si lo hace Vd. o son acciones automáticas en nombre o con permisos del sistema.

Una respuesta del experto de soporte técnico de Doctor Web

Así que todo está controlado. Los agentes fronterizos están atentos.

#software_malicioso #configuración_de_Dr.Web #protección_preventiva #tecnologías_Dr.Web

El mundo de antivirus recomienda

No desactive la Protección preventiva que permite afrontar los programas maliciosos modificados.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios