RAT (Herramienta de acceso remoto, por ejemplo, Sub7 ) son considerados maliciosos por el software Antivirus. ¿Cómo puede distinguir entre dichos parches y una aplicación cliente para software comercial como NetSupport School ?
RAT (Herramienta de acceso remoto, por ejemplo, Sub7 ) son considerados maliciosos por el software Antivirus. ¿Cómo puede distinguir entre dichos parches y una aplicación cliente para software comercial como NetSupport School ?
Algunos antivirus distinguirán RAT de las herramientas de NetSupport. Depende del tipo de mecanismo de detección que utiliza el antivirus.
Si el antivirus está utilizando una detección basada en firmas, debería distinguir una RAT de NetSupport, ya que está buscando líneas específicas de código. Este tipo de protección depende de la calidad de las firmas en la base de datos. Si el virus no está en la base de datos, no se detectará el virus.
Si el antivirus está utilizando una detección basada en heurística, buscará un comportamiento de aplicación sospechoso, por lo que es posible que no distinga una RAT de las herramientas de NetSupport.
A pesar de las afirmaciones de marketing escandalosas en contrario, el software antivirus no es inteligente. Antivirus no reconoce "tipos" de software, como en "mmh ... esto parece una herramienta para RAT". Hay fuertes razones teóricas por las que este tipo de detección es, en general, imposible de lograr y, por consiguiente, muy difícil de lograr. en la práctica.
Lo que hace el antivirus es buscar el software que ven (que es, en última instancia, una secuencia de bytes) en una gran base de datos de "software malvado conocido". El proveedor de antivirus trabaja arduamente todos los días para incluir en la base de datos el malware que se ha observado en la naturaleza, es decir, la mayoría del malware que puede encontrar, pero no el software de la escuela de soporte de Net, que human proveedor de antivirus se consideran "no malvados".
La mayoría de las veces, el proveedor que desarrolla las herramientas de soporte de TI trabaja con las compañías de AV para incluir en la lista blanca sus herramientas de administración remota.
La detección de comportamiento, a.k.a, el motor huerístico de los AV, son comercializados por las compañías de antivirus como un mecanismo genial para detectar troyanos y otros programas maliciosos, incluso si no hay una firma disponible. El motor técnico huerístico no es más que un enlace de DLL para detectar cuándo los procesos llaman a VirtualAlloc (), VirtualProtect (), GetProcAddress (), LoadLibrary () etc.
Por lo tanto, desde un punto de vista antivirus, no hay diferencia entre una herramienta de administración remota legítima o una maliciosa. El código para ambos es casi el mismo. Lo único que busca el AV es ver si el software está en la lista de aplicaciones permitidas. Si es así, entonces está permitido. De lo contrario, la herramienta se marcará como sospechosa / maliciosa.
Lea otras preguntas en las etiquetas malware attack-prevention antivirus remote-desktop