¿Cuál podría ser la razón para que un software antivirus importante no detecte una entrada de DNS maliciosa?

3

Recientemente instalé la versión de prueba de Kaspersky ya que siempre tuve una buena impresión de las características de su software. También compré una licencia de 1 PC por 1 año, pero aún no la abrí porque me pasó algo muy poco satisfactorio.

Para mí, cuando estaba en una fiesta de juegos de LAN e intenté usar la red, solo tenía acceso a un fractal de servicios web. Después de algunas investigaciones y con la ayuda de otros, descubrimos que esto se debía a una entrada sospechosa como mi IP de servidor DNS principal y que ese servidor probablemente se desarrolló sin considerar el escenario, que estaba presente en la LAN, como lo había manejado un DNS legítimo.

Después de buscar en Google la IP que se configuró como mi servidor DNS, casi todas las páginas alertaban sobre ataques MITM y malware troyano. E incluso el primer post fue un informe en el rastreador de Kaspersky desde atrás hasta el 2012.

Así que aquí está mi pregunta:

¿Cómo puede ser que un importante software anti masculino como Kaspersky haya sido informado sobre esto hace 4 años y todavía no pueda rastrear esto?

A mi entender, esto debería ser fácil de detectar. Supongo que lo más básico es agregar esta dirección IP a alguna lista negra y simplemente comparar la entrada del DNS con la lista negra. También descubrir cómo leer la entrada de DNS del sistema no debería ser un gran problema para los desarrolladores de una empresa así, ¿no?

Entonces, ¿cuáles podrían ser las razones para que Kaspersky no pueda hacer un seguimiento de esto, excepto simplemente el bulto del dev correspondiente?

Nota: Estoy legítimamente interesado en esto. No estoy tratando de despotricar. Si esto parece así, puede sentirse libre de reemplazar el nombre del producto con un pseudoproductname.

    
pregunta Zaibis 24.06.2016 - 12:13
fuente

1 respuesta

2

Al verificar rápidamente, vi varias instancias del problema exactamente opuesto: Kaspersky bloquea cualquier conexión a la IP del enrutador del usuario.

La explicación más probable es que Kaspersky realmente bloquea IP maliciosas conocidas (dado que usa el producto correcto, es decir, al menos Kaspersky Internet Security y no el antivirus independiente), pero con dos requisitos previos principales:

  • Las IP maliciosas deben ser conocidas: debe haber sido confirmada como maliciosa por los equipos de Kaspersky, agregarse en una lista negra y su software debe haber actualizado esta lista negra, sin embargo, es probable que el atacante cambie las IP que usan regularmente,
  • La IP maliciosa debe ser maliciosa:
    • A menudo, esto es solo un host compartido o comprometido que también sirve contenido legítimo, bloquear completamente la IP podría tener efectos secundarios no deseados. Para dar un ejemplo concreto, hay listas negras de baja calidad en Internet que regularmente bloquean CDN importantes como Cloudfare porque sus IP se han utilizado para servir a algunos programas maliciosos. Una vez que se aplica dicha lista negra, resulta imposible acceder a cualquier sitio web que se base en los servicios de Cloudflare ...
    • O el malware está explotando un área gris legal.

Siguiendo sus comentarios, en su caso, este parece ser este último caso.

Parece que está afectado por el software DNS Unlocker, una empresa que publica en su sitio web ( http://www.dnsunlocker.com , URL voluntaria que no se puede hacer clic) un servicio que permite eludir contenidos restringidos geográficamente pero que no propone descargas para instalar realmente su software !).

Explican explícitamente que lo logran al reemplazar el servidor DNS estándar por el propio que reemplazará las respuestas de los sitios web filtrados. Muestran términos y declaraciones de privacidad claros, proporcionan instrucciones de desinstalación detalladas y completas (incluido el hecho de que la configuración de DNS tendrá que modificarse manualmente), informan que su aplicación es compatible con anuncios y proporcionan un formulario de contacto.

También parecen estar relacionados con GreenTeam ( http://www.greentm.co.uk , lo suficientemente honesto como para anunciar en su página "Acerca de nosotros" que se encuentran en Israel y no en el Reino Unido ...), anteriormente CloudGuard según mi entendimiento, que se basa en el mismo sistema para filtrar sitios web maliciosos (a la OpenDNS entonces, pero con anuncios y contenido inyectados ...).

¿Debe un antivirus bloquear este tipo de servicios de "área gris"? La pregunta es bastante difícil, ya que estamos hablando principalmente sobre el equilibrio entre la libertad y la seguridad. Es por eso que para el mismo software, mientras no se demuestre que un servicio hace algo realmente ilegal y dañino, algunos antivirus pueden clasificarlo como malware, mientras que otros pueden adoptar un enfoque más conservador.

Lamentablemente, ninguno de ellos parece pedir la opinión del usuario, asumiendo que el usuario no sabe y prefiere que no se le pida que decida nada.

    
respondido por el WhiteWinterWolf 24.06.2016 - 12:50
fuente

Lea otras preguntas en las etiquetas