如果端点保护产品有该恶意软件的签名,为什么主机会受到感染?
如果端点保护产品有该恶意软件的签名,为什么主机会受到感染?
提问于 2018-03-16 10:41:57
多个主机正在尝试CNC通信,这是针对至少来自2013年的威胁,H虫。
但是,在这些主机上部署了端点保护,并且运行正常,但最近没有检测到恶意文件。端点保护产品甚至在恶意软件的CNC中指定。但是这个威胁已经很久了,我的销售商似乎已经有签名了。我在VirusTotal中查询了一些文件散列(来自我上面链接的VirusTotal文章),以查看我的供应商是否检测到了它们,并且它确实检测到了它们。计划中的杀毒扫描也在正常运行,但没有检测到任何病毒。
我的主要问题是,为什么端点保护错过了这些感染?
现在我有三个猜测:
- 产品发生故障,我需要联系我的供应商;
- 存在(新的?)没有被我的供应商检测到的H-蠕虫实例
- 由于某些正当的原因,这些感染没有反映在端点保护日志中。
回答 1
Security用户
回答已采纳
发布于 2018-03-16 12:34:48
反恶意软件可以排除具有某些扩展名的文件,或者从扫描中排除某些驱动器或目录。如果恶意软件位于被排除用于扫描的位置,该软件将不会识别、隔离或移除违规软件。
您可以查看这种排除的软件配置。如果您知道蠕虫的位置,可以通过将eicar测试文件放置在该文件夹中并查看是否已识别,从而运行并行测试。如果该软件正在扫描受感染的位置,并且没有找到蠕虫或eicar,则该软件不适合使用。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/181686
复制相关文章
相似问题
腾讯云开发者
