Seguridad de nuevos troyanos

-3

¿Existe la posibilidad de que un programador experto haga un troyano no viral indetectable? infectar un sistema a la vez, lo que significa que nunca será conocido por los fabricantes de antimalware, por lo que no se aplicarán todos los programas de seguridad.

Tengo Windows 10 y KIS 2017, comparto mi memoria USB muy a menudo y tengo algunas dudas.

    
pregunta Vlad Uskar 29.04.2017 - 23:27
fuente

1 respuesta

1

Sí, y ni siquiera requiere mucha habilidad.

Intenté esto una vez. Como un ejercicio puramente académico sin intención de utilizarlo, escribí el troyano más simple que se pueda imaginar en C ++: Simplemente inicie un nuevo proceso en segundo plano que abre un socket de servidor TCP y reenvía todo lo que viene a system . Ni siquiera traté de ofuscar lo que estaba haciendo de ninguna manera. Todo esto es algo bastante básico que yo esperaría que cualquier programador junior improvisara en unas pocas horas, incluso si no han hecho algo así antes. Para ser justos, esto no habría sido tan peligroso, porque no intentó sobrevivir a un reinicio del sistema, no habría funcionado en la mayoría de las redes de consumidores porque habría requerido el reenvío de puertos si detrás de NAT y no No he trabajado en un servidor debidamente reforzado porque el puerto hubiera sido bloqueado por un firewall, pero quería mantener las cosas lo más simples posible

Luego lo envié a VirusTotal. Supuse que obtendría un golpe heurístico de la mayoría de los motores AV

Para mi sorpresa, solo dos motores tuvieron un impacto, y ambos lo confundieron con un malware conocido que ni siquiera era troyanos (en otras palabras, falsos positivos). Los escáneres de virus son muy buenos para capturar muestras de malware conocido por sus firmas, pero cuando se trata de detectar malware desconocido, son extremadamente poco confiables (a pesar de lo que dicen sus mercadotecnia). La razón de esto es que en realidad es muy difícil escribir un programa que pueda determinar qué hará un programa arbitrario cuando se ejecute sin ejecutarlo realmente.

Eso significa que no puedes asumir que un escáner de malware te protegerá de cualquier malware hasta que llegue a los laboratorios del desarrollador.

    
respondido por el Philipp 30.04.2017 - 01:50
fuente

Lea otras preguntas en las etiquetas