Si un usuario visitó un sitio web malicioso hace un año, ¿deberíamos disparar desde la órbita para estar seguros?

2

Un análisis de virus de Microsoft Security Essentials acaba de finalizar en una de nuestras computadoras y muestra dos amenazas potenciales en los archivos temporales de Internet Explorer:

  1. Página web con Black Hole Exploit Kit
  2. Archivo PDF especialmente diseñado (parte de Black Hole Kit de explotar)

Los dos elementos se descargaron en la misma fecha hace aproximadamente un año, por lo que creo que es seguro suponer que un usuario visitó un sitio malicioso (elemento # 1) que descargó el PDF (elemento # 2). La cuenta de usuario es una cuenta no administrativa no privilegiada.

Según Microsoft, el PDF estaba destinado a explotar un error en una versión antigua de Adobe Reader que se había corregido mucho antes de que se descargara el PDF. Mantenemos nuestro software actualizado aquí, por lo que parece que este exploit ha fallado. El escaneo de virus no detectó ningún otro problema.

Mi principal preocupación es que el sitio malintencionado intentó usar varias vulnerabilidades y Security Essentials no las detectó todas. ¿Debería disparar desde la órbita por si acaso, o confiar en el antivirus y dejar que solo elimine los archivos?

    
pregunta Phil 19.06.2013 - 21:22
fuente

2 respuestas

6

Lo que tienes allí es evidencia de un intento de infección, no una infección exitosa. No es raro tener estos tipos de archivos en la carpeta temporal de Internet si no están bloqueados por la protección contra malware.

Sin embargo, necesita más pruebas de que la máquina está limpia antes de considerar NO matarla desde la órbita. Se requerirían escaneos desde un LiveCD (o escaneo en tiempo de arranque) o evidencia de que el intento fue bloqueado

Si no está seguro o no puede confirmar que la infección no se produjo, debe volver a tomar la imagen. Tienes una estrategia de reimagen rápida, ¿verdad?

Mi otra preocupación es que estos archivos no se vieron hasta ahora, lo que genera más preguntas para las cuales es probable que las respuestas vuelvan a crear imágenes.

En una nota sobre antivirus: "confía, pero confirma". Mi regla general es que AV bloquea el 80% de las amenazas posibles. Confirmo máquinas limpias en lugar de confiar en un 'preventor de suciedad'.

    
respondido por el schroeder 19.06.2013 - 21:42
fuente
0

Para estar seguro, ejecutaría un escaneo de arranque con heurísticas establecidas al máximo. Microsoft Security Essentials es un buen antivirus, pero funciona un poco liviano y siempre lo acoplo con algo más pesado al menos una vez al mes, como Avast !. El escaneo en el momento del arranque pasará por el disco duro sin ninguno de los controladores activados, que es donde algunos virus / troyanos / gusanos reales tienden a ocultarse, por lo que los programas Anit-Virus "en el sistema operativo" no los escanean. Este método de escaneo ha salvado muchas máquinas en mi tiempo en TI. En el futuro, recomendaría desarrollar un programa de respaldo sólido y de rutina. Como dice el viejo refrán, guarda y guarda a menudo. Existen algunas soluciones de copia de seguridad agradables de terceros, como Acronis, con las que puede crear y recuperar imágenes en solo minutos. Espero que esto ayude y buena suerte.

    
respondido por el Rippyhick 19.06.2013 - 21:33
fuente

Lea otras preguntas en las etiquetas