Estaba usando una versión anterior de Norton Anti Virus y no se ejecutó la Actualización en vivo. La solución fue cambiar el nombre de un archivo. Esto me hizo pensar que si un virus podría reemplazar una base de datos antivirus con su propia versión falsa y parecería que las definiciones están siempre actualizadas, ¿se incluiría el sistema antivirus? ¿Cómo podría protegerse esto?
El software antivirus solo es útil como medida preventiva.
Cuando su computadora está limpia, puede detectar y prevenir cualquier intento de malware en su sistema. Ellos confían en su base de datos de malware para hacer esto. El malware nuevo y no descubierto no se detectará de esa manera.
Si un malware se ejecuta en su sistema, simplemente ya no puede confiar en el sistema. No hay forma de garantizar que el malware se elimine correctamente. Hay demasiadas maneras en que una pieza de malware puede ocultarse. Lo mejor sería eliminar el sistema y comenzar de nuevo en tal situación.
Para responder a tu pregunta, sí, se puede hacer, se ha hecho.
Siempre es mejor prevenir que curar. Siga los pasos habituales para protegerse: no ejecute archivos que no sean de confianza, etc.
Algunos virus simplemente deshabilitan los programas antivirus. Así sucede. Otra táctica de malware es instalar un rootkit que evitaría que cualquier otro programa detecte el virus.
Los "virus" de la vieja escuela eran una broma maliciosa, que eventualmente haría algo interesante para mostrarse, incluso si el antivirus no pudiera detectarlos. La amenaza moderna es el software de botnet que explota tu computadora para ganar dinero, por lo que hay un gran incentivo para evitar ser detectado.
Los vendedores de antivirus respondieron a este sabotaje en una clásica carrera de armamentos. Utilizaron todo tipo de trucos de bajo nivel para detectar cuándo un virus los estaba inhibiendo. Esta no fue una carrera, cualquiera de los dos lados podría "ganar" con seguridad; son solo dos programas que pueden usar los mismos poderes, luchando por el control de la misma computadora.
Windows moderno tiene soporte incorporado para antivirus. Con suerte, esto significa que Windows reservará efectivamente algunos poderes solo para antivirus, por lo que podría obtener una ventaja algo más fuerte que solo haber sido instalado primero.
Windows moderno también tiene un programa de firma de controladores, lo que debería dificultar considerablemente la carga de código malicioso como rootkits en el "kernel".
Windows 8 proporciona soporte para arranque seguro. Esta característica (una vez que se cierren los errores de implementación ...) evitará que los virus modifiquen la ruta de inicio para que se carguen ellos mismos (y luego puedan sabotear el AV). Windows ya intenta detener los virus haciendo esto mientras se ejecuta. Es decir. La escritura al sector de arranque es uno de estos poderes que Windows intenta reservar. Pero por ejemplo si un virus se escribiera a, por ejemplo, un dispositivo de almacenamiento USB y lo dejó enchufado, el BIOS podría arrancar desde ese dispositivo y usted podría ser instalado. El arranque seguro debería evitar eso.
Todo esto está sujeto a vulnerabilidades de escalada de privilegios locales . P.ej. Si hay un error en el kernel, un virus puede explotarlo para cargarse en el kernel. Estos están mitigados en cierta medida por NX y ASLR ... pero al menos en Linux, con el que estoy más familiarizado, siguen apareciendo.
Nunca confiaría completamente en AV, y siempre vale la pena tener cuidado con el software que eliges ejecutar.
La mayoría de las soluciones de AV lo evitan al firmar digitalmente su base de datos. Esto implica calcular un hash criptográfico de la base de datos y luego cifrarlo con una clave privada asimétrica. La clave pública correspondiente está incorporada en la aplicación, que luego utiliza para verificar la autenticidad de la base de datos.
Hay dos posibles ataques aquí:
La solución al primer ataque es usar un hash fuerte, por ejemplo, Familia SHA-2. Esto garantiza que la base de datos esté segura contra las colisiones de hash.
La solución al segundo ataque es un poco más difícil. Evitar que el ejecutable en disco se modifique es solo un caso de firma digital. Sin embargo, los mods en memoria son más difíciles de proteger. Unos cuantos AV intentan resolver esto conectando las API de acceso a la memoria en el nivel del kernel, para evitar la modificación en la memoria de sus procesos AV. Esto funciona bastante bien, pero no es una panacea.
Otro problema es que un rootkit podría modificar el búfer que contiene el contenido ejecutable a medida que se lee desde el disco, actuando como un controlador de filtro de almacenamiento masivo. Nuevamente, hay algunos métodos que son razonablemente exitosos para vencer esto, pero no son 100% efectivos.
Al final del día, una vez que el malware se ejecuta en su computadora, deja de ser su computadora. AV es muy útil para identificar el malware antes de que tenga la oportunidad de ejecutarse, pero es relativamente malo para mitigar el daño una vez que se ejecuta el malware. Realmente deseo que los proveedores de AV adopten esto, y se centren en la identificación antes de la ejecución, en lugar de intentar presionar remedios de snake-oil para el malware que ya se está ejecutando en una caja.
Creo que nunca debes confiar solo en un software AV.
Asegúrese de tener un usuario administrador, que sea el propietario del archivo utilizado por Norton.
Tenga un usuario regular, que normalmente usa, que no puede cambiar este archivo.
En el menú Inicio, haga clic en Panel de control. Nota: si esto no coincide con lo que ve, consulte Acerca de la configuración de navegación en Windows.
Haga doble clic en Cuentas de usuario, haga clic en Administrar cuentas de usuario y, a continuación, haga clic en Agregar ....
Introduzca un nombre para la cuenta de administrador. Haga clic en Siguiente > .
Seleccione el botón de opción titulado Otro: y, en el menú desplegable, elija Administradores.
Haga clic en Finalizar, que lo llevará de regreso al cuadro de diálogo Cuentas de usuario. Haga clic en Aceptar.
Asegúrese de que el archivo solo pueda ser editado por la cuenta del administrador
En la pestaña General, coloque la marca de verificación en Atributo de solo lectura, para las cuentas que no sean de administrador y TODOS, que se encuentran junto a la etiqueta de Atributos.
Marque la marca de Control total para la cuenta de administrador.