RAT (Strumento di accesso remoto, ad es. Sub7 ) sono considerati dannosi dal software antivirus. Come può distinguere tra tali patch e un'applicazione client per software commerciali come NetSupport School ?!
RAT (Strumento di accesso remoto, ad es. Sub7 ) sono considerati dannosi dal software antivirus. Come può distinguere tra tali patch e un'applicazione client per software commerciali come NetSupport School ?!
Alcuni anti-virus distingueranno il RAT dagli strumenti di NetSupport. Dipende dal tipo di meccanismo di rilevamento utilizzato dall'antivirus.
Se l'anti-virus utilizza un rilevamento basato su firma, dovrebbe distinguere un RAT da NetSupport poiché sta cercando linee di codice specifiche. Questo tipo di protezione dipende dalla qualità delle firme nel database. Se il virus non è presente nel database, il virus non verrà rilevato.
Se l'anti-virus utilizza un rilevamento basato su euristica, cercherà comportamenti sospetti dell'applicazione, quindi potrebbe non distinguere un RAT dagli strumenti di NetSupport.
Nonostante affermazioni di marketing oltraggiose, il software antivirus è non intelligente. L'antivirus non riconosce i "tipi" di software, come in "mmh ... sembra uno strumento per RAT". Ci sono forti ragioni teoriche perché questo tipo di rilevamento è, in generale, impossibile da raggiungere e, di conseguenza, molto difficile da fare in pratica.
Ciò che l'antivirus fa è cercare il software che vedono (che è, in definitiva, una sequenza di byte) in un grande database di "software noto male". Il fornitore di antivirus lavora sodo, ogni giorno, per includere in quel database malware che è stato osservato in natura - vale a dire la maggior parte dei malware che è probabile incontrare, ma non il software Net support school, che human il fornitore di antivirus è considerato "non male".
La maggior parte delle volte il fornitore che sviluppa gli strumenti di supporto IT lavora con le aziende AV per elencare in bianco gli strumenti di amministrazione remota.
Il rilevamento del comportamento a.k.a il motore hueristico degli AV è commercializzato dalle società antivirus come un meccanismo geniale di rilevamento di trojan e altri malware anche se non ci sono firme disponibili. Il motore tecnicamente hueristic non è altro che l'hook della DLL per rilevare quando i processi chiamano VirtualAlloc (), VirtualProtect (), GetProcAddress (), LoadLibrary () ecc.
Pertanto, da un punto di vista antivirus, non vi è alcuna differenza tra uno strumento di amministrazione remota legittimo o uno malevolo. Il codice per entrambi è quasi lo stesso. L'unica cosa che l'AV cerca è vedere se il software si trova nell'elenco delle applicazioni consentite. Se lo è, allora è permesso. In caso contrario, lo strumento verrà contrassegnato come sospetto / dannoso.
Leggi altre domande sui tag remote-desktop malware attack-prevention antivirus