¿Cómo logró Wanna Cry superar los programas antivirus?

1

Para aquellos que tenían computadoras con Windows cuando el virus WannaCry golpeó, ¿cómo exactamente el virus evitó los programas antivirus? He intentado leer algunos artículos sobre esto, pero no entiendo cómo exactamente ese agujero de Windows ayudó al virus a evadir el software antivirus. ¿Es solo una cuestión de personas que no tienen software antivirus, o este virus lo evadió de alguna manera?

    
pregunta ilikeyoyo 04.08.2017 - 00:00
fuente

2 respuestas

0

La omisión de los AVP puede ser simple independientemente de qué es ampliamente creído

El problema con los "antivirus tradicionales" es que no detectan exploits o en malware de memoria, como fue el caso de Wanancry. El "agujero" de SMB, como lo describió, se usó, a través de EternelBlue (el exploit), para ejecutar de forma remota y en la memoria la pieza de malware. Esto significa :

  

Es casi imposible protegerse contra el nuevo malware que utilizará   El exploit de EternalBlue se propaga excepto cuando se usa   Protección de punto final de próxima generación con capacidades de escaneo de memoria   y detección de exploits. Antivirus tradicional sin prima.   Las funciones o configuradas por defecto no bloquearán el EternalBlue.   explotar.

Herer es un flujo de ejecución típico de Wanancry:

    
respondido por el Soufiane Tahiri 04.08.2017 - 00:31
fuente
1

El software antivirus generalmente detecta amenazas de malware de dos maneras:

  • detección basada en firmas
  • detección heurística

Los productos de software antivirus no tenían una definición o firma de virus para WannaCry, ya que no se había visto antes (una amenaza no detectada anteriormente) como un malware recién creado. Así que escapó a toda la detección basada en firmas.

La detección heurística se basa en observar la ejecución activa de un binario. Por ejemplo, si un antivirus observa un análisis de virus para detectar y modificar o anexar ejecutables en un sistema, marcaría el binario como posible malware o sospechoso. La forma en que WannaCry funciona es mediante el acceso a bibliotecas criptográficas específicas en Windows (para el proceso de generación de claves y posterior cifrado) y luego busca tipos de archivos de documentos comunes, como DOCX, XLSX, JPG, etc., para cifrar. El motor heurístico del antivirus no puede detectar esto como una infección típica de malware. Posiblemente agregarán capacidades heurísticas para detener el ransomware a medida que se ejecuta al observar su comportamiento en algún momento en un futuro cercano. Por ejemplo: enlace

Además, como mencionó, es posible que muchos usuarios que fueron afectados no estuvieran usando una solución antivirus correctamente actualizada y efectiva. Si fueran grandes en actualizar el software, habrían actualizado su sistema operativo Windows y tendrían un parche para la vulnerabilidad de MS17-010 Eternal Blue.

    
respondido por el whoami 04.08.2017 - 00:25
fuente

Lea otras preguntas en las etiquetas