¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Una vacuna maliciosa

Consultas: 649 Comentarios: 10 Ranking: 12

lunes 5 de octubre de 2020

Un usuario ordinario sabe que hay archivos (aunque difícilmente podría explicar claramente qué es) y documentos. No le importa que un archivo a veces pueda ser no solamente ejecutable, y un documento sea una variedad del archivo. Pero a veces el usuario se entera de otras cosas, además de archivos y documentos, que también existen en su equipo.

¿Por qué surge este evento?


Estación: …, descripción: no hay).

Hora de aparición del evento en la estación: …

Proceso de actividad sospechosa: D:\Vtb\Cbp\Services\Vtb.Integration.Mdm.Cabs\Vtb.Integration.MdmCabs.Service.exe (PID: 14016), iniciado en nombre de: NT AUTHORITY\SYSTEM.

Ruta al objeto protegido al que se intentó acceder:

La ejecución del código no autorizado bloqueado por razón siguiente: un intento de ejecutar un código sospechoso.

Acción realizada para el procesos sospechoso: prohibido.

Iniciador de la acción para el proceso sospechoso: respuesta automática de la Protección preventiva (número de prohibiciones: 1).

El usuario recibió una notificación de que hubo un intento de acceso a algo, se bloqueó la ejecución de un código no autorizado. ¿Qué quiere decir todo esto?

Vamos a verlo y analizamos un ejemplo de iniciar un archivo ejecutable. Cuando el usuario o el sistema inician algún archivo, el inicio normalmente no significa ejecución consecutiva de alguna instrucción guardada en este archivo. Todo es más complicado. Se dedica la memoria operativa y en la misma se cargan los datos (así mismo, tanto el código que se ejecutará como los datos requeridos por el programa para el funcionamiento). Si el programa necesita las bibliotecas externas, se cargan las mismas también. De esta forma, en la memoria se crea un proceso cuyo funcionamiento contemplan los usuarios posteriormente.

El archivo del programa suele ser firmado y, al iniciar el mismo, el sistema verifica esta firma. Los malintencionados, por supuesto, pueden intentar modificar el contenido del archivo, pero en este caso se dañará la firma, y el sistema visualizará un aviso (el antivirus también). Y los ciberdelincuentes tendrán deseo de corregir un poco el proceso ya iniciado, añadir su código en el mismo. Esta modificación del código se llama inject.

#seguridad #hackeo #nombres #características_de_la_infección #terminología #tecnologías_Dr.Web

El mundo de antivirus recomienda

Recordamos que el antivirus en lel módulo de Protección preventiva supervisa el estado del sistema y en particular controla los intentos de acceso a los procesos iniciados en el sistema al asegurar su integridad, para que nadie pueda modificar su comportamiento, al completar o modificar la funcionalidad.

Se bloquea el inject de un proceso de terceros no firmado ("Vtb.Integration.MdmCabs.Service.exe") en el proceso de sistema WmiPrvSE.exe

Un inject es una implementación de algún código tercero en el área de direcciones del proceso. Es un procedimiento legítimo pero puede ser usado para los malintencionados para sus fines.

Estas acciones siempre se supervisan por el antivirus, en concreto - por el analizador de comportamiento del módulo «Protección preventiva».

En este caso el proceso no está firmado (no tiene firma digital legítima para el código implementado), por lo tanto, según las normas, se produce un bloqueo por el componente «Protección preventiva» con notificación sobre el bloqueo.

La protección preventiva permite afrontar los ataques si el código malicioso es desconocido para las firmas de las bases de virus (es decir, es desconocido para analistas). Y en este caso el malware se detecta por sus acciones particulares, por ejemplo, por un intento de modificar el funcionamiento del software bancario o sitios web.

La protección preventiva debe estar habilitada siempre.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios