Come fa un malware a superare questa struttura

1

Ho visto molti virus / script VB dannosi che vengono eseguiti quando si fa doppio clic accidentalmente o tramite collegamenti falsi che reindirizzano su alcuni virus causando un grave danno al PC Vittima. Ma al giorno d'oggi le ultime distribuzioni di Windows come Windows 8.1, 10 hanno questa caratteristica,

Questa funzionalità di Windows è estremamente buona perché mostra ciò che viene effettivamente eseguito anche il nome di exe in modo che si possa facilmente scoprire cosa stanno effettivamente eseguendo. Ho anche creato il collegamento prima di eseguire l'applicazione e la funzionalità funziona ancora bene. Ma sfortunatamente eseguendo una scansione completa sul mio PC con Kaspersky Total Security 2016 che non è una versione di prova, ho scoperto che il mio PC è stato infettato da un virus e l'ho rimosso. Dato che sono paranoico della sicurezza, eseguo la scansione settimanalmente una volta che ho analizzato tutti i file che ho scaricato da internet in quella settimana e ho scoperto che il virus arrivava insieme al pacchetto zip. Il virus non è stato fornito in bundle ma è esso stesso trovato come un eseguibile separato e l'ho eseguito facendo clic su un file. ma perché questo messaggio (indicato da Windows non è riuscito) mi avvisa? Ho scansionato il file zip con il mio antivirus prima di aprirlo e mi ha detto che nessuna minaccia trovata ma fortunatamente trovata sull'analisi euristica quando è stata completamente scansionata il mio PC Sono tranquillo che non sia un falso positivo perché ho fatto un'analisi Total Virus.

P.S Non sto incolpando Windows, ma voglio solo sapere come fa un malware a superare questa struttura. (Off topic ma importante per la sicurezza) L'aggiornamento gratuito per Windows 10 termina il 29 luglio.

    
posta VISWESWARAN NAGASIVAM 07.05.2016 - 16:58
fonte

2 risposte

1

Ciò è probabilmente dovuto a un ritardo tra gli sviluppatori di malware e il database antivirus. Kaspersky ha dovuto vedere e identificare questo come malware prima che potesse essere aggiunto al proprio database (quindi contrassegnato dalla scansione). Quindi la prima volta che hai scannerizzato questo file zip, è tornato pulito. Ma per la seconda volta che l'hai scansionato, Kaspersky l'ha trovato e ha aggiornato il tuo antivirus locale, consentendogli di essere catturato.

    
risposta data 18.07.2016 - 16:38
fonte
1

Lo SmartScreen si basa molto probabilmente sull'euristica e sulla firma del codice. L'euristica può essere aggirata e la codifica del codice può essere aggirata o rubando un certificato / chiave privata da una società legittima (già avvenuta con D-Link) o ottenendo un certificato utilizzando documenti falsi.

Infine, non sottovalutare la stupidità dell'utente. La maggior parte delle persone farà felice clic su questo se il file finge di essere importante come "elenco delle persone da licenziare" o il biglietto vincente per quella lotteria da un milione di dollari dalla Nigeria.

    
risposta data 18.07.2016 - 17:12
fonte

Leggi altre domande sui tag