Una pregunta que surge después de que una versión actualizada y con licencia de Norton Internet Security haya detectado un troyano instalado en mi nueva computadora portátil (Windows 7 instalado el 26 de agosto de 2015 y totalmente actualizado).
Ubicación del troyano: específicamente en C: \ Archivos de programa (x86) \ OLBPre. Con un acceso directo en mi escritorio llamado "MyPC Backup" (una utilidad que, aunque borré de la carpeta de Menú de Inicio / Inicio, me abrió para invitarme a registrarme y hacer una copia de seguridad de mis archivos; evidentemente, nunca acepté, ya que lo hice. no instalé dicho programa. Lamentablemente no recuerdo la primera vez que apareció esta ventana).
Aquí está el icono del acceso directo destinado al troyano OLBPre.exe (desinfectado por Norton; el acceso directo sigue siendo una curiosidad de mi propia ... ahora eliminado)
Fechadedetección:1deseptiembrede2015alas6:27p.m.
Másdatosdefechas:instaléNortonel29deagostode2015alas12:40p.m..Lacarpetamencionadaconeltroyanotienearchivoscreadosel29deagostode2015alas12:55p.m..Losotrosprogramasquehabíainstaladoanteslafechadeltroyanodonde:Aresel29deagostoalas11:12pm,unNeroBurningROMconlicenciael28deagosto(díaanterior)alas2:58pm,OracleVirtualBoxon28deagostoalas12:43pm.Programasinstaladosjustodespuésdeesetiempo:PowerISOconlicenciael29deagostoalas4:57pm,DaemonToolsLiteel29deagostoalas5:31pm,WinRARel30deagosto1:22am,yqBittorrentel30Agostoalas12:11pm.
ResumendelahistoriadeNorton:el30deagostode2015de2:47a2:51am,Nortonbloqueado72veceselprogramaC:\Windows\System32\svchost.execuandointentóaccederaDataDefinitionsenlacarpetadeinstalacióndeNorton.Pareceunaactividadmuyclaradeuntroyano,¿no?
NOTA:svchost.exe,segúnlapáginadeWindows,esunprocesodeWinespecialquesupuestamentealbergaserviciosdeWindows,comoWindowsDefender.
Preguntaprincipal:¿LosantivirustienenalgunaposibilidaddeacordarconMicrosoftCorporationunsistemaparadetectarunaactividadanormal?
Porejemplo,digamosquenoesnormalquealgunosprocesosnaveguenatravésdelascarpetasdelusuario,enumerentodoslosdirectorios,abranarchivosdetextoenbuscadeinformación,etc.Odigamosquealgunosprogramasnecesitaríandescargarunaactualización,peronocarguearchivossuperioresaunospocoscientosdeKB,nicopie/carguearchivosdeusuarioscolocadosenMisdocumentos.
Otrapregunta1:¿Cómoesposiblequeesteprogramaconeltroyano,MyPCBackup,sehayainstaladoenmicomputadorajustodespuésdelainstalacióndeNortonyquehayasido,precisamente,Nortonloquefinalmentelodetectócomountroyano?¿Meestoyperdiendodealgo?¿Hayalguienquesepasi"MyPC Backup" se ofrece a través de un asistente de instalación de otro programa?
Otra pregunta 2 : si hubo una actividad anormal de un proceso que intentaba acceder a las definiciones de Norton (svchost.exe), y Norton lo detectó, ¿por qué Norton no me advirtió ni devolvió esta información a ¿La central de Norton para un análisis más detallado?
Otra pregunta 3: si este programa, MyPC Backup, se inició en el inicio de sesión de mi usuario y, por lo tanto, se está ejecutando, ¿por qué Norton no detectó este ejecutable como un troyano antes? Podría ser un análisis de fondo de Norton lo que lo ha detectado. Esto significa que Norton no escanea los archivos de la carpeta por prioridad, ¿no? por ejemplo, escaneando la carpeta de origen de un ejecutable que ya se está ejecutando y carpetas más cercanas a él. No entiendo por qué Norton no hizo esta comprobación ... ¿Debería hacerlo?
Otra pregunta 4 : supongamos que lo he instalado por algún error y que lo hice específicamente en la fecha que se muestra en la carpeta de instalación de MyPC Backup (supongamos que la fecha es correcta, no falsificado por el troyano). Si Norton tiene la función FileInsight, y no le permite ejecutar ningún archivo sin mostrarle la perspectiva de "Norton Community" de ese archivo, ¿por qué Norton no me advirtió de ningún peligro los días 29 y 30 de agosto?
Si alguien descubrió que alguna solución está realmente libre de malware, por favor, comparta ...
NOTA: Para descartar las opciones, también he instalado un antilogger con licencia (desde el principio).