Attività di monitoraggio antivirus: perché non hanno un firewall interno per impedire l'accesso dei processi ai documenti dell'utente?

Question

Attività di monitoraggio antivirus: perché non hanno un firewall interno per impedire l'accesso dei processi ai documenti dell'utente?

#1 da (1 voti)

2

Una domanda che sorge dopo che una versione aggiornata e autorizzata di Norton Internet Security ha rilevato un trojan installato nel mio nuovo laptop (Windows 7 installato il 26 agosto 15 e completamente aggiornato).

Posizione del trojan: in particolare in C: \ Programmi (x86) \ OLBPre. Con un collegamento sul mio desktop chiamato "MyPC Backup" (un'utilità che, sebbene sia stata cancellata dal menu Start / cartella di avvio, è stata aperta invitando me a registrarmi e fare un backup dei miei file, evidentemente non l'ho mai accettato, dato che l'ho fatto non installato un programma di questo tipo. Purtroppo non ricordo la prima volta che questa finestra è comparsa).

Ecco l'icona del collegamento destinato al trojan OLBPre.exe (disinfettato da Norton, la scorciatoia è rimasta una mia curiosità ... ora cancellata)

Datadirilevamento:1set15alle18:27

Datipiùdati:hoinstallatoNortonsu29agosto15alle12:40pm.Lacartellamenzionataconiltrojancontienefilecreatiin29agostoalle12:55.Glialtriprogrammicheavevoinstallatoprimaladatadeltrojandove:Aresil29agostoalle23:12,unalicenzaNeroBurningROMil28ago(giornoprecedente)alle2:58pm,OracleVirtualBoxsu28agostoalle12:43pm.Programmiinstallatisubitodopoquelperiodo:PowerISOconlicenzail29agostoalle16:57,DaemonToolsLiteil29agostoalle17:31,WinRARil30ago1:22eqBittorrentil30agostoAugalle12:11pm.

RiepilogodellacronologiaNorton:indata30ago'15da2:47alle2:51am,Nortonbloccato72volteilprogrammaC:\Windows\System32\svchost.exequandohatentatodiaccedereaDataDefinitionsnellacartelladiinstallazionediNorton.Sembraun'attivitàmoltochiaradiuntrojan,vero?

NOTA:svchost.exe,inbaseallapaginadiWindows,sitrattadiunospecialeprocessodiWindowschepresumibilmenteospitaserviziWindows,comeWindowsDefender.

Domandaprincipale:gliantivirushannolapossibilitàdiconcordareconMicrosoftCorporationunsistemaperrilevareattivitàanomale?

Adesempio,diciamochenonènormalechealcuniprocessistianonavigandoattraversolecartelledell'utente,elencandotutteledirectory,aprendofileditestoincercadiinformazioni,ecc...Oppurediciamochealcuniprogrammidovrebberoscaricareunaggiornamento,manoncaricarefilepiùgrandidiqualchecentinaiodiKBocopiare/caricarefiledell'utenteinseritiinDocumenti.

Altradomanda1:com'èpossibilechequestoprogrammaconiltrojan,MyPCBackup,siastatoinstallatonelmiocomputersubitodopol'installazionediNortonechesiastato,proprioNorton,ascoprirlocomeuntrojan?Mistoperdendoqualcosa?C'èqualcunochesase"MyPC Backup" è offerto attraverso una procedura guidata di installazione di un altro programma?

Altra domanda 2 : se c'era un'attività anormale di un processo che tentava di accedere alle definizioni di Norton (svchost.exe) e Norton lo rilevava, perché Norton non mi avvisava né riportava queste informazioni a Norton's Central per ulteriori analisi?

Altra domanda 3: Se questo programma, MyPC Backup, è stato avviato all'accesso del mio utente, e quindi viene eseguito, perché Norton non ha rilevato questo eseguibile come un trojan prima? Potrebbe essere lo sfondo di Norton a scansionare ciò che lo ha rilevato. Significa che Norton non esegue la scansione dei file di cartelle per priorità, no? ad esempio, scansionando la cartella sorgente di un file eseguibile già in esecuzione e cartelle più vicine ad esso. Non capisco perché Norton non ha fatto questo controllo ... Dovrebbe?

Altra domanda 4 : Supponiamo di averlo installato per qualche errore, e che l'ho fatto specificatamente alla data mostrata nella cartella di installazione di MyPC Backup (supponiamo che la data sia corretta, non simulato dal trojan). Se Norton ha la funzione FileInsight e non ti consente di eseguire alcun file senza mostrarti la visione "Norton Community" di quel file, perché non sono stato avvisato da Norton di alcun pericolo il 29 e il 30 agosto?

Se qualcuno ha trovato una soluzione per essere veramente libera da malware, per favore, condividi ...

NOTA: per scartare le opzioni, ho anche installato un antilogger con licenza (dall'inizio).

windows firewalls antivirus file-system

posta rellampec 01.09.2015 - 11:23

fonte

1 risposta

Leggi altre domande sui tag windows firewalls antivirus file-system

È possibile utilizzare insieme la crittografia EAP-TLS e AES256? Nascondi contenitori Docker dietro VPN

score 1 · Accepted Answer

More Dates Data ... svchost.exe when it tried to access DataDefinitions at Norton's install folder. It seems a very clear activity of a trojan, doesn't it?

svchost è un processo che viene utilizzato per molte cose diverse. Quindi potrebbe essere un'infezione o potrebbe non esserlo. E non è nemmeno chiaro che l'infezione sia avvenuta solo dopo l'installazione di Norton. Il sistema potrebbe essere stato infettato prima. Una volta che hai un'infezione sul sistema, non puoi essere sicuro di come si comporti più, anche un antivirus installato dopo che l'infezione potrebbe essere ingannata dal malware.

Do antiviruses have any chance to agree with Microsoft Corporation a system to detect abnormal activity?

Per rilevare attività anomale devi prima definire qual è l'attività normale per ciascuna delle applicazioni che hai e ciascuna scaricata. Quindi, ovviamente, dovresti leggere questa descrizione per ciascuna delle applicazioni che installi e devi comprendere appieno cosa significa. E solo dopo aver accettato ciò che l'applicazione può fare, dovrebbe essere installato.

Poiché probabilmente questo non può essere previsto dai comuni utenti, i sistemi come Android hanno qualche tipo di manifest che mostra il tipo di informazioni a cui un'applicazione piace accedere. Anche se è molto più semplice di quanto sarebbe necessario per classificare i comportamenti anomali, è ancora troppo complesso per molti utenti, quindi concede semplicemente tutti i diritti a qualche applicazione casuale.

A parte questo, probabilmente concedere l'accesso a tutti i file a un'applicazione di backup poiché è ciò di cui ha bisogno un tale tipo di applicazione, altrimenti nessun backup e ripristino sarebbe possibile.

How is it possible that this program with the trojan, MyPC Backup, was installed in my computer just after Norton Installation and that it has been, precisely Norton what finally detected it as a trojan?

Il malware sta cambiando rapidamente e le soluzioni antivirus si limitano a recuperare. Quindi potrebbe perdere una cosa oggi e trovarla domani dopo che il malware è stato visto in libertà e le firme antivirus sono state aggiornate dopo. Puoi essere fortunato che sia stato rilevato, anche dopo l'infezione.

If there was abnormal activity of a process trying to access Norton's definitions (svchost.exe), ...

Ancora una volta, è difficile sapere che cosa sia anormale per alcune applicazioni casuali che l'utente ha deciso di scaricare.

Inoltre, tutte le altre domande ripetono la stessa cosa: ti aspetti che alcuni antivirus siano a conoscenza di eventuali pericoli attuali e futuri e ti aspetti che sappia quale comportamento normale di qualsiasi applicazione casuale è. Queste aspettative non possono essere soddisfatte dal momento che il malware viene testato contro le soluzioni antivirus dagli autori del malware e mettono a punto il malware abbastanza a lungo da evitare queste protezioni. I produttori di antivirus riparano nuovamente le loro soluzioni per una migliore protezione, ma solo dopo che hanno rilevato il nuovo malware, il che di solito significa che molti utenti sono già stati infettati.

Se installi qualsiasi tipo di software, non dovresti credere al comportamento pubblicizzato. Questo è vero per alcuni download di software gratuiti che spesso vengono associati ad adware o malware. Ma questo vale anche per gli antivirus in cui il fornitore dichiara la protezione completa . Questa è una promessa che non può essere soddisfatta.