Varios hosts intentaban una comunicación CNC específica para una amenaza de al menos 2013, H-worm .
Sin embargo, la protección de punto final se implementa en estos hosts y funciona, pero recientemente no se detectaron archivos maliciosos. El producto de protección de punto final está incluso especificado en el CNC del malware. Pero esta amenaza es muy antigua y mi proveedor parece tener firmas para ello. Consulté algunos hashes de archivos (del artículo de FireEye que vinculé anteriormente) en VirusTotal para ver si mi proveedor los detecta y lo hace. Los análisis antivirus programados también se ejecutaban como deberían, pero no se detectó nada.
Mi pregunta principal es, ¿por qué la protección de punto final no detectó estas infecciones?
Ahora mismo tengo 3 suposiciones:
- Se ha producido un fallo de funcionamiento del producto y debo comunicarme con mi proveedor;
- Existen (¿nuevas?) instancias de H-gusanos que no son detectadas por mi proveedor
- Estas infecciones no se reflejan en los registros de protección de puntos finales por alguna razón legítima