P: Estoy preguntando por el caso en el que no encuentran una coincidencia y tienen un malware potencialmente "nuevo".
Hay un similar polémico que algunas investigaciones afirman sobre el negro de humo (CB) , que se debe a la configuración manual, de forma predeterminada, incluso la detección heurística del experimento permanecerá dentro de la carpeta en cuarentena del usuario. Sin embargo, algunos AV pueden practicar para enviar el hash sha256 del archivo detectado para mantenerlo como estadística (
Esto plantea otro problema. Es decir. en Europa, para cumplir con GDPR, la dirección IP y toda la información posible de huellas dactilares del usuario deben ser eliminadas.). Además, también hay un problema logístico para analizar los archivos de usuario, por ejemplo, Almacenamiento, recursos para analizar el archivo.
Para la empresa, la solución de "empresa / empresa" del proveedor de AV más importante siempre mantiene el archivo dentro de la organización, lo que también puede bloquear el AV del cliente de usuario de los cambios (como cambiar la configuración para enviar el archivo infectado).
En resumen
Prominent AV no recopilará el archivo detectado. La presentación de la muestra es siempre un opt-in / voluntario.