Come sapere se l'avviso di virus è falso positivo?

3

Ho ricevuto avvisi (email e iniezione del browser) dal mio ISP su un'infezione Zbot dietro il mio modem.

Ho eseguito lo strumento di rimozione del software dannoso di Microsoft, oltre allo strumento di rimozione Zbot di AVG su entrambi i PC Windows e non hanno trovato nulla. Ho anche fatto una scansione completa con ESET, il mio normale antivirus.

Questo è un falso positivo? C'è qualcos'altro che dovrei fare?

Modifica: messaggio dal mio ISP: link

Edit2: Anche qui ho macchine OSX e Linux, ma credo che Zbot sia solo un'infezione di Windows.

    
posta brack 24.07.2017 - 21:56
fonte

4 risposte

3

Per prima cosa, devi verificare che l'e-mail dal tuo ISP sia valida (cioè proviene dal tuo ISP). Non sono sicuro del motivo per cui qualcuno ti avviserebbe di una possibile infezione per intenti malevoli, ma la paranoia non è sempre la cosa peggiore al mondo quando si parla di sicurezza. Chiama il tuo ISP. Chiedi loro come hanno preso questo.

A meno che tu non sappia esplicitamente ciò che stai cercando (chiamate socket, heatbeats, ecc.) sarà difficile verificarlo. È sempre meglio prevenire che curare. Di nuovo, chiama il tuo ISP e vedi come sono stati rilevati con le impronte digitali e da lì potresti essere in grado di limitare il punto di infezione.

Se è in realtà Zbot allora può essere MOLTO difficile da rilevare e rimuovere con gli strumenti AV standard o anche eseguendo uno script chiamato script tron . Puoi fare del tuo meglio con gli strumenti a tua disposizione e persino eseguire lo script di tron per vedere se raccoglie qualcosa. Ma questo è uno dei principali metodi di consegna per ransomware, botnet, ecc. E come tale, è molto ben nascosto e scritto.

Ecco dove la trama diventa triste, probabilmente è necessario nuke dall'orbita. Lo so, questa opzione fa schifo .. molto .. Ma, la maggior parte se non tutti ci si imbattono in questo di tanto in tanto. Soprattutto nel regno della ricerca.

    
risposta data 24.07.2017 - 23:53
fonte
0

Devi assolutamente contattare il tuo ISP e chiedere ulteriori consigli e informazioni sulla loro valutazione.

Se sei effettivamente infetto da questo tipo di malware avanzato, probabilmente dovresti semplicemente reinstallare Windows. Alcuni consigli su come rilevare se sei infetto possono essere trovati qui o qui (entrambi i link da Wikipedia ). Tuttavia, dal momento che questo non è un processo perfettamente accurato, dovresti davvero metterti in contatto con il tuo ISP.

Se esiste la possibilità che tu sia realmente infetto non preoccuparti di provare a rimuovere il malware, basta reinstallarlo.

    
risposta data 24.07.2017 - 23:58
fonte
0

Scusa la risposta un po 'filosofica, ma:

Dato che non puoi viaggiare indietro nel tempo per avere una visione completa di ciò che la tua rete ha fatto al momento del rilevamento, e dal momento che non hai una registrazione sufficientemente completa delle sue interazioni con Internet in quel momento, logicamente non può smentire la correttezza di quell'allarme.

Quindi, per rispondere al titolo della tua domanda:

Non puoi saperlo. Con questo genere di cose, di solito, si sbaglia sul lato della sicurezza e si presume che l'allarme sia giustificato.

    
risposta data 25.07.2017 - 05:25
fonte
-1

Determinare se si tratta di un falso positivo può essere complicato. Hai accesso al file binario del file in questione?

Se possibile, puoi prendere un binario dell '"infezione" e caricarlo su VirusTotal e vedere quante soluzioni AntiVirus lo individuano come malware.

In alternativa, puoi ottenere un hash MD5 del file binario e inviarlo a VirusTotal per vedere se ha una cronologia di rilevamento come malware.

Un altro modo avanzato è in realtà di decodificare il binario in un disassemblatore o debugger per studiare il comportamento del binario. È anche possibile eseguirlo in una sandbox e utilizzare le utilità di Process Explorer per vedere quale tipo di modifiche tenta di apportare nel sistema e quali processi figlio genera.

    
risposta data 24.07.2017 - 22:22
fonte

Leggi altre domande sui tag