Si su sistema operativo tiene seguridad actualizada, ¿qué hace un escaneo de virus en Linux [cerrado]

La idea errónea aquí es que la explotación no siempre es parte de una infección. Cuando se parchea un sistema operativo, se lo protege contra un error que podría permitir que un atacante infecte una computadora. Pero un atacante no necesita usar un error para obtener acceso, y si lo hace, no es necesariamente parte del sistema operativo (podría estar en un servicio, navegador, aplicación instalado). Piense en usar ingeniería social, usar una contraseña que haya obtenido de alguna manera, o incluso usar un exploit de navegador que sea independiente de la versión del sistema operativo, ya que solo explota el proceso del navegador.

Los escáneres de virus agregan otra capa de protección, si el malware se instaló con credenciales, ingeniería social o incluso un día cero, si se sabe que todavía lo detendrás.

Como concepto, la seguridad siempre se construye en capas, asumiendo que cuantos más obstáculos coloque los atacantes será más difícil, lo que suponiendo que no sea un objetivo de valor lo suficientemente alto lo convertirá en un indeseable o prácticamente seguro.

El propósito de un antivirus es identificar y eliminar / bloquear programas ejecutables que son maliciosos. Esto es independiente del problema de garantizar que un programa malintencionado de este tipo no llegue a su máquina en primer lugar. De hecho, un programa malicioso dado podría colocarse en su máquina a través de cualquier número de ataques, pero el programa en sí es el que hace daño. Escanear los archivos antes de que se ejecuten evita que se ejecuten muchos programas maliciosos, independientemente de su origen.

Los programas maliciosos tampoco son necesariamente tan obvios como "rm -rf /". Considere un programa que encripta su directorio de inicio y luego elimine la versión no encriptada (con la esperanza de que usted pague un rescate). Este programa no está explotando nada, está abriendo y leyendo archivos (lo cual es normal para un programa), luego realiza algunos cálculos y luego escribe en otro archivo (lo que también es normal). Incluso eliminar archivos es algo relativamente rutinario para los programas. Por lo tanto, la necesidad de identificar programas maliciosos en lugar de identificar programas que solo eliminan archivos.

Autor original de rkhunter aquí.

La comparación con sistemas Windows y Linux es igual: aún necesita un escáner antivirus, incluso si instaló todos los parches disponibles. Simplemente porque el software malintencionado se puede ejecutar sobre un sistema operativo completamente parcheado. Así que necesitas defensas en diferentes áreas. Y aunque muchos dicen que Linux no es realmente vulnerable al malware, puedo decirte lo contrario. La única pregunta es qué tipo de escáner necesita (escáner de acceso en tiempo real o programado).

Un atacante podría usar un exploit desconocido o de día cero (contra el cual su sistema operativo aún no ha sido parchado) para instalar un rootkit conocido. Por lo tanto, el análisis de virus aún vale la pena, incluso si su parche está actualizado.