Gli script dannosi nei file batch vengono rilevati dagli antivirus?

Dipende da cosa c'è dentro. Se trova del /F /S /Q C:\* all'interno di un file batch di Windows, certo, alcuni AV potrebbero segnalarlo come sospetto. Se si tratta di una copia byte-per-byte di uno script dannoso noto, certo, alcuni AV potrebbero prenderlo.

In generale, gli script batch sono troppo variabili per scrivere un rilevatore di script dannoso funzionante che cattura script di malware nuovi o "personalizzati". È probabile che tu veda l'AV catturare qualcosa di particolarmente prolifico, ma quasi certamente non qualcosa di nuovo o personalizzato.

Non affidarti al tuo AV per la protezione, anche se il venditore ti ha detto che è il miglior prezzo di protezione che puoi comprare. È un'ultima linea di difesa nella migliore delle ipotesi, e di solito è utile solo per farti risparmiare tempo prevenendo gli attacchi più basilari, dandoti la possibilità di dare la priorità alle tue risorse per affrontare gli attacchi più mirati.

Non possiamo dire che si applica ad ogni anti-virus, ma per la maggior parte di essi, sì. Chiamare un anti-virus specifico che usi ci aiuterà a darti una risposta migliore. I file batch non dovrebbero essere il rischio più significativo del tuo elenco, quindi tieni un strong antivirus e firewall sempre attivo sulla tua rete.

Esistono numerose opzioni che avranno risultati diversi a seconda del profilo di rischio del server che contiene gli script. Certamente, gli strumenti AV / AM raccolgono falsi positivi di tanto in tanto con script personalizzati codificati perché includono tutti euristica PHP e così via al giorno d'oggi.

1. Solo report, quarantena disattivata: consente all'AV / AM di segnalare al tuo NOC / SIEM o agli amministratori quando viene rilevato un positivo; quindi regola le regole SIEM ecc. per i falsi positivi con il passare del tempo.
2. Report e Quarantine: su un server ad alto rischio questo potrebbe essere l'approccio migliore. Forse si affronta il motivo per cui si dispone di script basati su testo per questa soluzione ad alto rischio ... È spesso difficile trovare lo script reale a cui l'AV / AM ha fatto corrispondere (quindi è possibile fare la differenza, ecc.) E quindi non fare affidamento sull'essere in grado di modificare lo script in modo che non venga segnalato dall'AV / AM.
3. Nessun rapporto, nessuna quarantena: se stai facendo una coperta AV / AM - c'è sempre l'opzione, se il profilo di rischio di questo server è basso, di escludere singoli file. Tuttavia, questo di per sé potrebbe renderli obiettivi in futuro. Se l'hai fatto; pensa ad altri modi per mitigare i rischi, come registrare un hash di ogni file e posizionare controlli aggiuntivi per cercare le modifiche ai file.

Comunemente i virus anti utilizzano la definizione dei virus che sono firme di virus da virus scritte da sviluppatori di malware e analisi euristiche. Potrebbe esserci una possibilità di falsi positivi.

Ma non pubblicherebbe molte minacce. Una buona pratica è aggiornare il tuo antivirus e fare una scansione regolare.