¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Puntos débiles

Слабые звенья

Otras ediciones de este tema (22)
  • añadir a favoritos
    Añadir a marcadores

La falta de protección

Consultas: 666 Comentarios: 10 Ranking: 13

viernes, 18 de septiembre de 2020

Aquí tenemos una solicitud a nuestro soporte técnico:

Se ha producido una infección importante en todos los servidores donde está instalado el antivirus drweb. Así mismo, la utilidad cureit detecta muchos virus. Hay que tomar la decisión de desinstalar Su antivirus e instalar otro enseguida, o es una configuración inicialmente errónea.

El antivirus no detecta nada. Pero menos mal que el usuario admite la posibilidad de configuración errónea.

El resultado del análisis del incidente fue así:

En el sistema… no está instalado el componente principal de la protección, el monitor de archivos - SpIDer Guard para servidores Windows. Este componente funcionaba en septiembre del año 2019, pero fue eliminado. Sin este componente de protección en el sistema no se realiza la supervisión de archivos con los cuales se trabaja: la lectura, la escritura, las acciones de copiar etc.

Estaba funcionando, pero fue eliminado hace un año. Así mismo, por supuesto, “nadie tocó nada” y ¡nadie cambió nada”.

Después de la instalación y configuración inicial, justo en septiembre del año 19, no cambié ninguna configuración más.

Una vez instalado el componente, el mismo enseguida empezó a detectar los intentos de infección:

Ahora en el autoinicio periódicamente aparece un archivo infectado, el antivirus lo elimina y luego todo vuelve a empezar.

El análisis de este incidente demostró que los intentos de infección se realizan desde algún dispositivo:

El principio de difusión de este troyano es así: en la red hay un equipo no protegido o un equipo sin monitor de archivos SpIDer Guard, desde este PC se difunde la infección a través de las vulnerabilidades del SO (donde no están instalados todos los parches para SO) o al obtener acceso a través de una contraseña hackeada (si una contraseña es fácil, no es complicado hackearla).

En todos los equipos donde se detecta actividad de virus similar, es necesario comprobar y cambiar las contraseñas de las cuentas por otras más sofisticadas, que no tienen sentido ni son del diccionario que anteriormente no se habían usado. También es importante porque en este caso esto puede ser usado como un vector del ataque. Se infecta un equipo en la red, y luego por la red se averiguan las contraseñas para otras cuentas. Si uno consigue averiguar contraseña para alguna cuenta, las acciones siguientes en el PC remoto se realizarán en nombre de esta cuenta hackeada.

Vamos a resumirlo, la tarea más importante es encontrar la fuente de difusión de la infección, es el PC no protegido en Su red. Puede ser alguna estación olvidada desde hace mucho con un antivirus no actualizado o no instalado, un sistema operativo obsoleto o no actualizado desde hace mucho sin actualizaciones críticas que además posiblemente (aunque no obligatoriamente) puede tener acceso a la red.

Hemos pedido enviar los detalles desde la máquina fuente del ataque. Y averiguamos una cosa rara:

\\192.168.ххх.yyy\sgexe\sgmain.exe - no hay este dispositivo de red, no se puede usar ping con éxito, no se puede acceder al mismo, no está en la tabla arp.

Es decir, el ataque por la red se produce desde otro dispositivo desconocido para el administrador.
Por supuesto, hay que “instalar enseguida” otro antivirus…

La causa de lo sucedido es que el administrador no controló su red. No sabemos si estaba establecida la restricción de conexión de nuevos dispositivos en la red, cómo era la protección de contraseñas etc. Lamentablemente, el análisis del incidente no llegó a eso. Pero ¿cómo se podía no notar que en los servidores no hay protección antivirus, no está instalado su componente básico monitor de archivos que controla todas las transacciones con archivos?

Y si fuera un solo caso… Otro análisis del incidente:

El virus en el equipo estaba instalado sin el componente SpIDer Guard, por lo tanto, no tenía protección en tiempo real.

En este caso, el malintencionado se aprovechó de la ausencia de algunos componentes del antivirus:

Es muy probable que se haya producido un inicio de sesión en el sistema al averiguar/robar la contraseña de una cuenta por RDP (o a través de la sesión terminal), el malintencionado eliminó el programa antivirus e inició el cifrador.

#antivirus #configuración_Dr.Web #soporte #características_de_infección

El mundo de antivirus recomienda

La ausencia de la protección antivirus sin falta (tarde o temprano) afectará el estado de la red informática. Pero también son peligrosos los casos cuando el antivirus está instalado, pero algunos de sus módulos no han sido activados por alguna razón.

Todos los componentes de protección son importantes, no hay nada innecesario en el antivirus.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios