Autor
|
Tema: ¿Realmente los antivirus nos protegen? (Leído 14,534 veces)
|
CodeJiyu
Desconectado
Mensajes: 78
El Ego es un Arma de doble filo.
|
@Hurdano FUD = Archivo completamente indetectable. FUD = Fully undetectable. (completamente indetectable) @scott_ Ese archivo es indetectable Scantime, Al ejecutarlo lo detectaria seguro 100%. A no ser que tu mismo lo programases con 2 cojones. @lechugaFeliz Con modificar 1 Byte del archivo ya cambias el Hash. Hace años que eso no funciona. En teoria cualquier virus nuevo no masificado es indetectable por la base de datos de A.V, entonces cuando los malware o script son diseñados para una víctima específica, a menos que sea un usuario con conocimientos avanzados, no podria hacer nada ¿o me equivoco?.
|
|
|
En línea
|
|
|
|
kub0x
Enlightenment Seeker
Colaborador
Desconectado
Mensajes: 1.486
S3C M4NI4C
|
En teoria cualquier virus nuevo no masificado es indetectable por la base de datos de A.V, entonces cuando los malware o script son diseñados para una víctima específica, a menos que sea un usuario con conocimientos avanzados, no podria hacer nada ¿o me equivoco?.
Realmente es así, si el usuario que recibe la amenaza sólo dispone de un AV basado en el escaneo de firmas, al ser un malware no analizado todavía, es muy probable que pase desapercibido. Sobre todo si está bien codeado. Saludos.
|
|
|
En línea
|
|
|
|
Hurdano
Desconectado
Mensajes: 322
Se que puedo cambiar el futuro, pero no el pasado
|
Gracias por aclarar mis dudas sobre el FUD. Entonces claro, actúa solamente frente amenazas genéricas. Por eso nuevos virus, "nuevos..." como ransomware, la nueva versión, los usuarios tienen AV, pero una vez abierto el correo y abrir el fichero...No te lo detecta, pasa sin alarmarte, hasta que se tenga la suficiente info en la base de datos para bloquearlo antes de ejecutarse todo el código.
Y otra cosa, frente a ese tipo de cosas, da igual que sea gratuito que de pago, la diferencia no es darte más protección, porque la base de datos de las firmas es la misma, y mucha gente se cree que da más protección y no es así. Solamante dan más opciones para hacer más cosas con tu sistema etc.
|
|
|
En línea
|
|
|
|
#!drvy
|
Hay que recordar que hay antivirus que no solo se basan en firmas. También los hay por comportamiento o heurística. De modo que si el malware no esta en su BD de firmas pero si se comporta de forma sospechosa, el anti-malware puede avisar de dicho comportamiento. Recuerdo hace años cuando el SpyBot S&D era uno de los pocos que te avisaban cada vez que "algo" modificaba el registro para añadirse al autorun.. De todos modos decir que un antivirus no te protege o es inservible solo por que no es capaz de detectar el 100% de las amenazas es.. pedir demasiado. Me atrevería a afirmar que son capaces de protegerte del 80% del malware que un usuario regular se puede encontrar a diario. Lo demás se reduce a ataques muy específicos o muy tempranos. Si lo pensamos, la idea general de un malware es distribuirse lo máximo que pueda.. las probabilidades de que acabe siendo analizado y/o enviado para pruebas a un laboratorio AV aumentan cada vez que este se distribuya. Es como la policía, en general pueden prevenir asesinatos pero no siempre.. pero una vez ocurrido un asesinato se puede/hace una investigación y se identifica/detiene al sospechoso y mas si este sigue cometiendo asesinatos. Y otra cosa, frente a ese tipo de cosas, da igual que sea gratuito que de pago, la diferencia no es darte más protección, porque la base de datos de las firmas es la misma, y mucha gente se cree que da más protección y no es así. Solamante dan más opciones para hacer más cosas con tu sistema etc. No exactamente. Los que suelen ofrecer versiones de pago y free incluyen distintos módulos en cada uno. Asi, el free podría ser solo anti-malware mientras que el de pago podría incluir también firewall. La BD es la misma pero la 'protección' que ofrece puede aumentar de otras formas. Saludos
|
|
« Última modificación: 12 Mayo 2015, 11:50 am por #!drvy »
|
En línea
|
|
|
|
Hurdano
Desconectado
Mensajes: 322
Se que puedo cambiar el futuro, pero no el pasado
|
Buena explicación. Yo me refiero a eso, porque en la empresa donde estoy realizando las prácticas, según me han comentado en verano sufrieron el ataque del virus ransomware, y tienen un AV de pago, pero no les sirvió de nada, ya que por lo visto se cargo todo el pc.
Me refiero que de poco sirve, si el usuario no sabe como configurar correctamente tantos "módulos" para obtener más protección y evitar ese tipo de cosas.
|
|
|
En línea
|
|
|
|
#!drvy
|
Bueno los casos de ransomware son un poco jodidos. El ransomware hay que pillarlo antes de que actue.. una vez infectado de poco te sirve la proteccion que tengas xD. De todos modos, los backups en una empresa deben considerarse obligatorios... precisamente para prevenir casos como esos.
Saludos
|
|
|
En línea
|
|
|
|
kub0x
Enlightenment Seeker
Colaborador
Desconectado
Mensajes: 1.486
S3C M4NI4C
|
Hay que recordar que hay antivirus que no solo se basan en firmas. También los hay por comportamiento o heurística. De modo que si el malware no esta en su BD de firmas pero si se comporta de forma sospechosa, el anti-malware puede avisar de dicho comportamiento.
Como ya he mencionado antes es recomendable tener una solución anti malware que ofrezca Firewall, HIPS o IPS, Antivirus y Sandboxing todo ello con unas políticas restrictivas aplicadas a zonas de red y programas, además de establecer el nivel de heurística en alto. Hemos aportado suficientes argumentos para demostrar que el AV no es suficiente para frenar este tipo de ataques, sobre todo si son dirigidos. Lo mejor es hookear todas las funciones relevantes que puedan cambiar el funcionamiento del sistema o comprometerlo, para eso tenemos los IPS. En el caso del ramsomware, si el coder es hábil no utilizará una API del sistema que previamente haya podido ser hookeada, por lo que si reescribe esas rutinas en su code seguramente el HIPS lo pase por alto. Saludos.
|
|
|
En línea
|
|
|
|
Kaxperday
Desconectado
Mensajes: 702
The man in the Middle
|
@scott_ Ese archivo es indetectable Scantime, Al ejecutarlo lo detectaria seguro 100%. A no ser que tu mismo lo programases con 2 cojones. Vaya, ¿entonces si tengo un troyano famoso, y uso la ultima versión del themida para encriptarlo "proteger el codigo", quiere eso decir que no valdria para nada la encriptacion? Es decir, al analizarlo con el antivirus no detecta nada, pero al ejecutar ¿el programa el antivirus lo detectaría no?. Entonces ¿como conseguir un crypter que funcione en Runtime? Acaso existen xD, ¿entonces para que valen los crypter scantime? si al ejecutarlo te lo detecta el AV.
|
|
|
En línea
|
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.
|
|
|
kub0x
Enlightenment Seeker
Colaborador
Desconectado
Mensajes: 1.486
S3C M4NI4C
|
Vaya, ¿entonces si tengo un troyano famoso, y uso la ultima versión del themida para encriptarlo "proteger el codigo", quiere eso decir que no valdria para nada la encriptacion?
Pasaría desapercibido ante un scan por parte del AV. Es decir, al analizarlo con el antivirus no detecta nada, pero al ejecutar ¿el programa el antivirus lo detectaría no?.
Si el Crypter descifra en disco sí. Si carga el malware en memoria (RunPE) estarías vendido a no ser que tengas un buen motor de heurística sobre procesos, FW o IPS.
|
|
|
En línea
|
|
|
|
scott_
Desconectado
Mensajes: 458
Mientras luches, ya eres un ganador
|
Pasaría desapercibido ante un scan por parte del AV.
Si el Crypter descifra en disco sí. Si carga el malware en memoria (RunPE) estarías vendido a no ser que tengas un buen motor de heurística sobre procesos, FW o IPS.
Pero es muy raro que pase, o a muy largo plazo si tu eres el único que lo usa, no mas personas, tu. Pero también, están en constante actualización con los Stubs. Saludos.
|
|
|
En línea
|
Si no intentas salvar una vida, jamás salvarás la de nadie más
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Los antivirus no protegen contra amenazas como Flame
Noticias
|
wolfbcn
|
0
|
1,704
|
5 Junio 2012, 18:38 pm
por wolfbcn
|
|
|
¿Los Antivirus realmente nos protegen?
Bugs y Exploits
|
Owl-City
|
4
|
4,261
|
29 Enero 2014, 18:20 pm
por ThePinkPanther
|
|
|
Así protegen los ‘hackers’ sus datos en la nube
Noticias
|
wolfbcn
|
0
|
1,431
|
25 Octubre 2014, 01:39 am
por wolfbcn
|
|
|
5 antivirus para tu router que protegen todos los dispositivos conectados
Noticias
|
wolfbcn
|
0
|
1,204
|
28 Marzo 2019, 21:46 pm
por wolfbcn
|
|
|
Realmente es util instalar un antivirus en un movil android ?
Seguridad
|
cigarrero
|
7
|
5,617
|
12 Diciembre 2020, 02:48 am
por @XSStringManolo
|
|