Più host stavano tentando la comunicazione CNC specifica per una minaccia almeno dal 2013, h-verme .
Tuttavia, la protezione degli endpoint viene distribuita su questi host e funziona ma recentemente non sono stati rilevati file dannosi. Il prodotto di protezione dell'endpoint è persino specificato nel CNC del malware. Ma questa minaccia è molto antica e il mio fornitore sembra avere firme per questo. Ho interrogato alcuni hash di file (dall'articolo FireEye che ho linkato sopra) in VirusTotal per vedere se il mio venditore li rileva e lo fa. Anche le scansioni pianificate dell'antivirus erano in esecuzione come dovrebbero, ma non è stato rilevato nulla.
La mia domanda principale è: perché la protezione degli endpoint ha mancato queste infezioni?
In questo momento ho 3 ipotesi:
- Si è verificato un malfunzionamento del prodotto e devo contattare il mio fornitore;
- Esistono (nuove?) istanze di worm H che non vengono rilevate dal mio fornitore
- Queste infezioni non si riflettono nei registri di protezione degli endpoint per qualche motivo legittimo