¿Cuáles son los riesgos de las exclusiones de antivirus para los archivos de máquinas virtuales?

11

Por motivos de rendimiento, me gustaría incluir en la lista blanca los siguientes archivos de una protección AV:

  • .vmdk (archivo de disco virtual VMWare);
  • .lck (archivo de bloqueo de VMWare para la consistencia del disco, creado en el mismo directorio que el archivo .vmdk);
  • .vmsn (archivo de instantáneas de máquina virtual);
  • .vmem (instantánea de memoria de la máquina virtual, realizada durante la creación de la instantánea mientras la máquina está encendida).

¿Habría algún efecto negativo en excluir estos archivos de la protección en tiempo de ejecución en las estaciones de trabajo de los empleados (no en entornos de producción o pruebas; solo PC)?

Creo que el riesgo es bastante bajo, pero me gustaría comprobarlo dos veces.

    
pregunta boleslaw.smialy 28.09.2016 - 11:34
fuente

2 respuestas

7

Puedo pensar en los siguientes puntos:

  • Se podría almacenar un archivo malicioso con esta extensión. No es imposible que su hipervisor contenga un error que podría conducir a una vulnerabilidad una vez que se carga un archivo de almacenamiento almacenado. Potencialmente, su AV podría ser capaz de detectar un archivo tan problemático antes de que tenga tiempo de parchear su hipervisor, reduciendo su ventana de vulnerabilidad.
  • Su AV puede ser capaz de entender el formato de estos archivos y buscarlos en busca de archivos potencialmente dañinos. No tengo conocimiento de ningún producto que haga eso, pero no he visto muy lejos (y no me interesa demasiado esa "característica").
  • Es posible que el motor heurístico AV detecte alguna forma de malware directamente en los archivos mientras no estén en uso (lo más probable es que sea un código de shell).
  • Dependiendo de cómo funcione su AV, si los archivos se almacenan en un sistema de archivos NTFS, un archivo malicioso podría almacenarse como un flujo de datos alternativo para uno de estos archivos, entonces el AV también puede omitir los ADS vinculados al archivo excluido.

IMNSHO, creo que vale la pena tomar los riesgos anteriores dado el alto costo de rendimiento del escaneado en acceso de los archivos de VM (que suele ser enorme).

    
respondido por el Stephane 28.09.2016 - 13:08
fuente
1

Ese es un problema común en el mundo de Windows: los tipos de archivos normalmente están indicados por extensiones de archivos, por lo que parece una buena idea decirle al antivirus que ignore algunas extensiones. De hecho, puede acelerar las cosas, pero pensar en ese escenario:

  • en una máquina le pido a AV que no escanee archivos txt porque sé que los archivos de texto no contienen virus
  • una persona malvada me da una llave USB que contiene un montón de archivos jpeg y listas de esos archivos con comentarios en archivos txt. Uno de esos archivos txt es un archivo ejecutable que contiene un virus pero cuyo nombre se ha cambiado a txt
  • Copio el contenido de la clave en mi disco: AV no detecta nada
  • = > una copia del virus está ahora en mi disco

Una más ligera sería si la clave contuviera una versión limpia de una aplicación instalable para explorar los archivos, y si el propietario de la clave explica que la instalación es muy compleja y se interrumpe cuando se activa un antivirus (piense de algunos productos de Pinnacle ...) pero colocó un archivo de proceso por lotes que lo automatiza: en medio del archivo de proceso por lotes, cambia el nombre del archivo de texto falso y lo ejecuta ...

En el ejemplo anterior, reemplaza txt por vmdk, y entenderás por qué las reglas que detienen el AV para ignorar una extensión conocida en realidad reducen el nivel de seguridad.

Cuando sea posible, prefiero decirle al AV que ignore carpetas específicas, o incluso mejores archivos específicos

    
respondido por el Serge Ballesta 28.09.2016 - 14:52
fuente

Lea otras preguntas en las etiquetas