¿Por qué se infectaron los hosts si el producto de protección de punto final tiene una firma para ese malware?

1

Varios hosts intentaban una comunicación CNC específica para una amenaza de al menos 2013, H-worm .

Sin embargo, la protección de punto final se implementa en estos hosts y funciona, pero recientemente no se detectaron archivos maliciosos. El producto de protección de punto final está incluso especificado en el CNC del malware. Pero esta amenaza es muy antigua y mi proveedor parece tener firmas para ello. Consulté algunos hashes de archivos (del artículo de FireEye que vinculé anteriormente) en VirusTotal para ver si mi proveedor los detecta y lo hace. Los análisis antivirus programados también se ejecutaban como deberían, pero no se detectó nada.

Mi pregunta principal es, ¿por qué la protección de punto final no detectó estas infecciones?

Ahora mismo tengo 3 suposiciones:

  1. Se ha producido un fallo de funcionamiento del producto y debo comunicarme con mi proveedor;
  2. Existen (¿nuevas?) instancias de H-gusanos que no son detectadas por mi proveedor
  3. Estas infecciones no se reflejan en los registros de protección de puntos finales por alguna razón legítima
pregunta skooog 16.03.2018 - 11:41
fuente

1 respuesta

1

El software antimalware puede tener exclusiones de archivos con ciertas extensiones o excluir ciertas unidades o directorios del análisis. Si el malware se encuentra en una ubicación excluida para la exploración, el software no identificará, pondrá en cuarentena ni eliminará el software ofensivo.

Puede ver estas exclusiones a través de la configuración del software. Si sabe dónde se encuentra el gusano, puede realizar una prueba paralela colocando el archivo de prueba eicar en esa carpeta y ver si se identifica eso. Si el software está escaneando la ubicación infectada y no encuentra el gusano o eicar, el software no es adecuado para su propósito.

    
respondido por el AndyMac 16.03.2018 - 13:34
fuente

Lea otras preguntas en las etiquetas