Recentemente ho dovuto leggere alcune segnalazioni di malware e log associati per un rilevamento di malware confermato e successiva infezione di un asset Windows. I log mostrano chiaramente i file .dll
nella cartella AppData
di un utente. Questi file .dll
hanno lo stesso nome di .dll
s normalmente trovato in system32
, ad esempio cryptbase.dll
.
So che in questo caso specifico si trattava sicuramente di malware e il disimballaggio della% canaglia% s era parte del normale processo del malware. L'ho chiesto in chat e mi è stato detto che l'unica spiegazione credibile per questo comportamento sarebbe il malware (come in questo caso) o una pessima pratica di programmazione, e anche in questo caso si tratta di uno scenario raro.
La mia domanda è duplice; esiste uno scenario in cui .dll
file con lo stesso nome di% standard.dll
system32
s si trovano nella cartella .dll
di un utente per qualsiasi motivo diverso da malware o programmazione scadente?
Inoltre, è corretto trattare i file AppData
che si trovano in .dll
e sembrano essere copie di AppData
file in .dll
, come indicatore di compromissione?