¿Cómo saber si la alerta de virus es un falso positivo?

3

Recibí alertas (correo electrónico y inyección del navegador) de mi ISP sobre una infección de Zbot detrás de mi módem.

Ejecuté la herramienta de eliminación de software malintencionado de Microsoft, así como el removedor Zbot de AVG en mis PC con Windows y no encontraron nada. También realicé un análisis completo con ESET, mi antivirus normal.

¿Es esto un falso positivo? ¿Hay algo más que deba hacer?

Editar: Mensaje de mi ISP: enlace

Edit2: También tengo máquinas OSX y Linux aquí, pero creo que Zbot es solo una infección de Windows.

    
pregunta brack 24.07.2017 - 21:56
fuente

4 respuestas

3

Primero, debe verificar que el correo electrónico de su ISP sea válido (es decir, que provenga de su ISP). No estoy seguro de por qué alguien podría advertirle de una posible infección por intención maliciosa, pero la paranoia no siempre es lo peor en el mundo cuando se trata de seguridad. Llame a su ISP. Pregúntales cómo captaron esto.

A menos que sepa de manera explícita lo que está buscando (llamadas de socket, beats, etc.) será difícil de verificar. Siempre es mejor estar seguro que lamentarlo. Nuevamente, llame a su ISP y vea cómo le tomaron las huellas dactilares y, desde allí, podrá reducir el punto de infección.

Si de hecho es Zbot , entonces puede ser MUY difícil de detectar y eliminar con herramientas AV estándar o incluso ejecutar una secuencia de comandos llamada secuencia de comandos de registro . Puedes hacer lo mejor que puedas con las herramientas a tu disposición, e incluso ejecutar el script de tron para ver si detecta algo. Pero, este es uno de los principales métodos de entrega de ransomware, botnets, etc. Y como tal, está muy bien oculto y escrito.

Aquí es donde la historia se pone triste, probablemente necesite deténgalo de la órbita. Lo sé, esta opción apesta ... mucho ... Pero, la mayoría, si no todos, nos topamos con esto de vez en cuando. Especialmente en el ámbito de la investigación.

    
respondido por el Joshua Faust 24.07.2017 - 23:53
fuente
0

Definitivamente, debe ponerse en contacto con su ISP y solicitar más consejos e información sobre su evaluación.

Si está realmente infectado por este tipo de malware avanzado, probablemente debería volver a instalar Windows. Puede encontrar algunos consejos sobre cómo detectar si está infectado aquí o here (ambos enlaces desde Wikipedia ). Sin embargo, como este no es un proceso perfectamente preciso, debería ponerse en contacto con su ISP.

Si existe la posibilidad de que realmente esté infectado, no se moleste en intentar eliminar el malware, simplemente vuelva a instalarlo.

    
respondido por el Elias 24.07.2017 - 23:58
fuente
0

Disculpe la respuesta ligeramente filosófica, pero:

Ya que no puede viajar en el tiempo para obtener una vista completa de lo que hizo su red en el momento de la detección, y como no tiene una grabación lo suficientemente completa de sus interacciones con Internet en ese momento, lógicamente no se puede refutar la corrección de esa alarma.

Entonces, para responder el título de tu pregunta:

No puedes saberlo. Con este tipo de cosas, normalmente usted prefiere equivocarse por el lado de la seguridad y presume que la alarma está justificada.

    
respondido por el Marcus Müller 25.07.2017 - 05:25
fuente
-1

Determinar si es un falso positivo puede ser complicado. ¿Tiene acceso al binario del archivo en cuestión?

Si es posible, puede tomar un binario de la "infección" y cargarlo en VirusTotal y ver cuántas soluciones antivirus detectan como malware.

Como alternativa, puede obtener un hash MD5 del binario y enviarlo a VirusTotal para ver si tiene un historial de detección de malware.

Otra forma más avanzada es realizar ingeniería inversa del binario en un desensamblador o depurador para estudiar el comportamiento del binario. También puede ejecutarlo en un entorno aislado y usar las utilidades del explorador de procesos para ver qué tipo de cambios intenta realizar en el sistema y qué procesos secundarios genera.

    
respondido por el whoami 24.07.2017 - 22:22
fuente

Lea otras preguntas en las etiquetas