Actividad de monitoreo de antivirus: ¿por qué no tienen un firewall interno para evitar el acceso de los procesos a los documentos del usuario?

2

Una pregunta que surge después de que una versión actualizada y con licencia de Norton Internet Security haya detectado un troyano instalado en mi nueva computadora portátil (Windows 7 instalado el 26 de agosto de 2015 y totalmente actualizado).

Ubicación del troyano: específicamente en C: \ Archivos de programa (x86) \ OLBPre. Con un acceso directo en mi escritorio llamado "MyPC Backup" (una utilidad que, aunque borré de la carpeta de Menú de Inicio / Inicio, me abrió para invitarme a registrarme y hacer una copia de seguridad de mis archivos; evidentemente, nunca acepté, ya que lo hice. no instalé dicho programa. Lamentablemente no recuerdo la primera vez que apareció esta ventana).

Aquí está el icono del acceso directo destinado al troyano OLBPre.exe (desinfectado por Norton; el acceso directo sigue siendo una curiosidad de mi propia ... ahora eliminado)

Fechadedetección:1deseptiembrede2015alas6:27p.m.

Másdatosdefechas:instaléNortonel29deagostode2015alas12:40p.m..Lacarpetamencionadaconeltroyanotienearchivoscreadosel29deagostode2015alas12:55p.m..Losotrosprogramasquehabíainstaladoanteslafechadeltroyanodonde:Aresel29deagostoalas11:12pm,unNeroBurningROMconlicenciael28deagosto(díaanterior)alas2:58pm,OracleVirtualBoxon28deagostoalas12:43pm.Programasinstaladosjustodespuésdeesetiempo:PowerISOconlicenciael29deagostoalas4:57pm,DaemonToolsLiteel29deagostoalas5:31pm,WinRARel30deagosto1:22am,yqBittorrentel30Agostoalas12:11pm.

ResumendelahistoriadeNorton:el30deagostode2015de2:47a2:51am,Nortonbloqueado72veceselprogramaC:\Windows\System32\svchost.execuandointentóaccederaDataDefinitionsenlacarpetadeinstalacióndeNorton.Pareceunaactividadmuyclaradeuntroyano,¿no?

NOTA:svchost.exe,segúnlapáginadeWindows,esunprocesodeWinespecialquesupuestamentealbergaserviciosdeWindows,comoWindowsDefender.

Preguntaprincipal:¿LosantivirustienenalgunaposibilidaddeacordarconMicrosoftCorporationunsistemaparadetectarunaactividadanormal?

Porejemplo,digamosquenoesnormalquealgunosprocesosnaveguenatravésdelascarpetasdelusuario,enumerentodoslosdirectorios,abranarchivosdetextoenbuscadeinformación,etc.Odigamosquealgunosprogramasnecesitaríandescargarunaactualización,peronocarguearchivossuperioresaunospocoscientosdeKB,nicopie/carguearchivosdeusuarioscolocadosenMisdocumentos.

Otrapregunta1:¿Cómoesposiblequeesteprogramaconeltroyano,MyPCBackup,sehayainstaladoenmicomputadorajustodespuésdelainstalacióndeNortonyquehayasido,precisamente,Nortonloquefinalmentelodetectócomountroyano?¿Meestoyperdiendodealgo?¿Hayalguienquesepasi"MyPC Backup" se ofrece a través de un asistente de instalación de otro programa?

Otra pregunta 2 : si hubo una actividad anormal de un proceso que intentaba acceder a las definiciones de Norton (svchost.exe), y Norton lo detectó, ¿por qué Norton no me advirtió ni devolvió esta información a ¿La central de Norton para un análisis más detallado?

Otra pregunta 3: si este programa, MyPC Backup, se inició en el inicio de sesión de mi usuario y, por lo tanto, se está ejecutando, ¿por qué Norton no detectó este ejecutable como un troyano antes? Podría ser un análisis de fondo de Norton lo que lo ha detectado. Esto significa que Norton no escanea los archivos de la carpeta por prioridad, ¿no? por ejemplo, escaneando la carpeta de origen de un ejecutable que ya se está ejecutando y carpetas más cercanas a él. No entiendo por qué Norton no hizo esta comprobación ... ¿Debería hacerlo?

Otra pregunta 4 : supongamos que lo he instalado por algún error y que lo hice específicamente en la fecha que se muestra en la carpeta de instalación de MyPC Backup (supongamos que la fecha es correcta, no falsificado por el troyano). Si Norton tiene la función FileInsight, y no le permite ejecutar ningún archivo sin mostrarle la perspectiva de "Norton Community" de ese archivo, ¿por qué Norton no me advirtió de ningún peligro los días 29 y 30 de agosto?

Si alguien descubrió que alguna solución está realmente libre de malware, por favor, comparta ...

NOTA: Para descartar las opciones, también he instalado un antilogger con licencia (desde el principio).

    
pregunta rellampec 01.09.2015 - 11:23
fuente

1 respuesta

1
  

Más fechas Data ... svchost.exe cuando intentó acceder a DataDefinitions en la carpeta de instalación de Norton. Parece una actividad muy clara de un troyano, ¿no?

svchost es un proceso que se utiliza para muchas cosas diferentes. Así que podría ser una infección o podría no serlo. Y ni siquiera está claro que la infección ocurrió solo después de que Norton se instaló. El sistema podría haber sido infectado antes. Una vez que tenga una infección en el sistema, ya no podrá estar seguro de cómo se comporta, es decir, incluso un antivirus instalado después de que la infección pueda ser engañada por el malware.

  

¿Los antivirus tienen alguna posibilidad de acordar con Microsoft Corporation un sistema para detectar actividad anormal?

Para detectar una actividad anormal, primero debe definir qué es la actividad normal para cada una de las aplicaciones que tiene y cada una de las que descarga. Luego, por supuesto, tendría que leer esta descripción para cada una de las aplicaciones que instale y entender completamente qué significa. Y solo después de haber aceptado lo que la aplicación puede hacer, se debe instalar.

Debido a que esto probablemente no se pueda esperar de los usuarios comunes, los sistemas como Android tienen algún tipo de manifiesto que muestra el tipo de información a la que una aplicación le gusta acceder. Aunque eso es mucho más simple de lo que se necesitaría para clasificar el comportamiento anormal, todavía es demasiado complejo para muchos usuarios, por lo que simplemente otorgan todos los derechos a alguna aplicación aleatoria.

Aparte de eso, es probable que otorgue acceso a todos los archivos a una aplicación de Copia de Seguridad, ya que eso es lo que este tipo de aplicación necesita, de lo contrario no sería posible realizar una copia de seguridad y una restauración.

  

¿Cómo es posible que este programa con el troyano, MyPC Backup, se haya instalado en mi computadora justo después de la instalación de Norton y que haya sido, precisamente Norton, lo que finalmente lo detectó como un troyano?

El malware está cambiando rápidamente y las soluciones antivirus solo se ponen al día. Por lo tanto, es posible que se pierda una cosa hoy y la encuentre mañana después de que el malware se haya visto de forma salvaje y las firmas de antivirus se hayan actualizado después de eso. Puede tener suerte de que se haya detectado, incluso después de la infección.

  

Si hubo una actividad anormal de un proceso que intenta acceder a las definiciones de Norton (svchost.exe), ...

Nuevamente, es difícil saber qué significa anormal para alguna aplicación aleatoria que el usuario decidió descargar.

Además de todas las otras preguntas, repita lo mismo: espera que algún antivirus esté al tanto de cualquier peligro actual y futuro y que sepa cuál es el comportamiento normal de cualquier aplicación aleatoria. Estas expectativas no se pueden cumplir, ya que los autores del malware prueban el malware contra las soluciones antivirus y lo ajustan el tiempo suficiente para que eviten estas protecciones. Los proveedores de antivirus luego vuelven a ajustar sus soluciones para obtener una mejor protección, pero solo después de haber detectado el nuevo malware, lo que generalmente significa que muchos usuarios ya se han infectado.

Si instala cualquier tipo de software, no debe creer el comportamiento anunciado. Esto es cierto para algunas descargas de software gratuitas que a menudo se incluyen con programas publicitarios o incluso con malware. Pero esto también es válido para los antivirus en los que el proveedor reclama la protección completa . Esta es una promesa que no se puede cumplir.

    
respondido por el Steffen Ullrich 01.09.2015 - 12:44
fuente

Lea otras preguntas en las etiquetas