Informática
22 meneos
371 clics
Demuestran la debilidad de los antivirus con dos trucos basados en entradas del ratón y el teclado

Demuestran la debilidad de los antivirus con dos trucos basados en entradas del ratón y el teclado

Un grupo de investigadores de la Universidad de Luxemburgo y la Universidad de Londres han compartido los resultados de un análisis sobre la debilidad de los antivirus ante dos trucos que no solo han traspasado las barreras de protección sino que han permitido realizar acciones maliciosas a partir de entradas del teclado y el ratón. En el primero, que han denominado 'control fantasma', simulan eventos de clic del ratón para desactivar la protección del antivirus. Parten de la idea de que se puede desactivar un antivirus estándar...

| etiquetas: antivirus , seguridad , ratón , teclado
16 6 0 K 50
16 6 0 K 50
  1. Mola. Haces un virus llamado paint.exe, y la mayoría de los antivirus ni lo examinan.
  2. #1 se podria tiener una lista de md5 hechas cuando el ordenador estaba limpio o tener los genuinos del fabricante. Seria mas rapido compararlo con el md5 que hacerle un analisis virico y los programas no suelen cambiar a menudo.
    Tambien seriviria para verificar que cosas que no deberian cambiar han cambiado, por ejemplo mp3 o multimedia que no se suele modificar. En principio solo tiene virus los ejecutables, pero el ejecutable podria tener guardado codigo otro archivo no ejecutable. Tambien un no ejecutable podria explotar alguna vuneravilidad del sofware que lo maneja y ejecutar algo.

    Tambien podrian ponerse permisos para que los programas solo accedan a lo que les hace falta y no a todo lo del usuario.

    No se como no hay ya antivirus programados por IA. Le das archivos infectados y no y que la IA aprenda. Lo malo son virus generados por IA, panico me da.
  3. #3 md5 mejor no, se puede generar el mismo hash a partir de distintos archivos mediante un collision attack (y con un simple pentium 4)

    ref:
    en.wikipedia.org/wiki/MD5#Security

    web.archive.org/web/20100327141611/http://th.informatik.uni-mannheim.d

    en.wikipedia.org/wiki/Collision_attack


    Suponiendo que se usase otra función de hash más segura también habría la posibilidad que el virus atacase directamente dónde estén almacenados los hash (b.d, directorio protegido, etc...) sustituyendolos con los nuevos hash de los archivos infectados.

    Es complicado.
  4. #4 Se podria firmar el archivo de hash para ver si está intacto. Aunque si la contraseña privada esta en el ordenador, podria usarla y si va con contraseña podria espiar cuando mete la contraseña.
  5. #4 Con sha256 te evitas buena parte de ataques.
  6. #1 O mejor aún, haces un antivirus llamado Norton y se comporta como un virus: www.adslzone.net/noticias/seguridad/norton-crypto-antivirus-minado-eth

    xD
  7. #3: Sí, aunque el MD5 creo que hoy te lo pwnean en poco tiempo. :-/
    Por eso en eMule añadieron el SHA1 junto con el MD4, y si por mi fuera añadiría alguno más moderno aún, que en cabro RAM no ocupa mucho y se lo pondría más difícil a los que intentan meter contenido malicioso.
  8. #3 Eso ya existe... se llama File Integrity Monitor y no veas el lio que es cuando llegan las actualizaciones :-)
comentarios cerrados

menéame