¿Se detectan los scripts maliciosos en los archivos por lotes con los antivirus?

Depende de lo que contenga. Si encuentra del /F /S /Q C:\* dentro de un archivo por lotes de Windows, seguro, algunos AV pueden marcarlo como sospechoso. Si se trata de una copia byte por byte de un script malicioso conocido, seguro, algunos AV pueden detectarlo.

En general, los scripts por lotes son demasiado variables para escribir un detector de scripts maliciosos que detecte scripts de malware nuevos o "personalizados". Es probable que el AV detecte algo particularmente prolífico, pero casi seguro que no es nada nuevo o personalizado.

No confíe en su AV para su protección, incluso si el vendedor le dijo que es la mejor protección que puede comprar el dinero. En el mejor de los casos, es una última línea de defensa y, por lo general, solo sirve para ahorrar tiempo al evitar los ataques más básicos, lo que le brinda la posibilidad de priorizar sus recursos para enfrentar los ataques más específicos.

No podemos decir que se aplique a todos los antivirus, pero para la mayoría de ellos, sí. Nombrar un antivirus específico que use nos ayudará a darle una mejor respuesta. Los archivos por lotes no deberían ser el riesgo más importante en su lista, por lo que debe mantener un fuerte antivirus y firewall en todo momento en su red.

Hay una serie de opciones que tendrán diferentes resultados dependiendo del perfil de riesgo del servidor que contiene los scripts. Ciertamente, las herramientas de AV / AM detectarán falsos positivos de vez en cuando con scripts codificados personalizados porque todos incluyen heurística de PHP y así sucesivamente en la actualidad.

1. Informe solo, cuarentena desactivada: obtenga el AV / AM para informar a su NOC / SIEM o administradores cuando se encuentre un resultado positivo; y luego ajuste las reglas de SIEM, etc., para obtener falsos positivos a medida que pase el tiempo.
2. Informe y cuarentena: en un servidor de alto riesgo, este podría ser el mejor enfoque. Tal vez explique por qué tiene secuencias de comandos basadas en texto para esta solución de alto riesgo ... A menudo es difícil encontrar la secuencia de comandos real que el AV / AM ha hecho coincidir (por lo que puede usar anti-dif, etc.) y no confíe en ser capaz de cambiar su secuencia de comandos para que no se informe por AV / AM.
3. No hay informe, no hay cuarentena: si está haciendo AV / AM general: siempre existe la opción, si el perfil de riesgo de este servidor es bajo, para excluir archivos individuales. Sin embargo, eso en sí mismo podría hacerlos objetivos en el futuro. Si hiciste esto; piense en otras formas de mitigar el riesgo, como registrar un hash de cada archivo y colocar controles adicionales para buscar cambios en el archivo.

Normalmente, los antivirus utilizan una definición de virus, que son firmas de virus escritas por un desarrollador de malware y análisis heurístico. Puede haber una posibilidad de falsos positivos.

Pero no publicaría mucha amenaza. Una buena práctica es actualizar su antivirus y realizar un análisis regular.