Endpoint Protection

 View Only

  • 1.  Autoprotect extension

    Posted Nov 03, 2017 10:40 AM

    Bungiorno,

    vorrei capire il funzionamento dei setting di autoprotect:

    In "file types" - "selected"  inserisco una lista di estensioni (ad esempio dll), metto la spunta su "determine file types by examining file contents".

    Ora vorrei sapere se, prendendo un file di tipo inserito in lista ma a cui in mariera malevola è stato cambiata estensione con una non presente in lista, viene esaminato per la verifica.

    Ad esempio pippo.dll (estensione presente in lista)  viene rinominato in pippo.bbb (estensione non presente in lista), viene esaminato alla ricerca di codica malevolo?

     

    Grazie



  • 2.  RE: Autoprotect extension

    Posted Nov 03, 2017 11:18 AM

    It would still be detected assuming the file itself has not been modified. Re-naming should not affect this.



  • 3.  RE: Autoprotect extension

    Posted Nov 03, 2017 11:49 AM

    Ad esempio per badrabbit, ho letto che  i file .dat caricati vengono lanciati con rundll32.exe.

    Ora, se ho .dll in lista e non ho .dat, viene individuato?



  • 4.  RE: Autoprotect extension

    Posted Nov 03, 2017 11:51 AM

    Yes; assuming there is a signature that can detect it.