Het is heel goed mogelijk dat een bestand dat niet door een scanner wordt gedetecteerd, nog steeds malware is. Ik zou zelfs verwachten dat de meeste nieuwe malware op die manier begint! Houd er rekening mee dat de slechteriken ook toegang hebben tot antivirussoftware. En daar zullen ze absoluut van profiteren door hun malware aan te passen totdat geen antivirussoftware het detecteert. (Toegegeven, ze zouden niet kunnen testen met Virustotal of een andere online scanner die hun bestand voor analyse naar antivirusbedrijven zou sturen, maar ze kunnen nog steeds een lange weg afleggen om te testen met offline scanners.)

Daarna de malware wordt vrijgegeven aan de wereld en krijgt een zinvolle verspreiding, antivirusbedrijven zullen het uiteindelijk opmerken en aan hun databases toevoegen. Maar als je de pech hebt dat je een van de eerste mensen bent die een nieuw stuk malware tegenkomt, is het heel goed mogelijk dat geen enkele antivirussoftware het bestand als malware detecteert wanneer je het voor het eerst tegenkomt.

Het wordt erger. Geavanceerde aanvallers (bijv. Natiestaten) verspreiden malware vaak naar een zeer kleine groep geselecteerde doelen. Door opzettelijk de distributie te beperken, kan het jaren of langer duren voordat een antivirusbedrijf aanslaat. De meeste mensen zullen nooit het doelwit zijn van geavanceerde aanvallen zoals deze, maar als u er een bent, zal antivirussoftware erg ineffectief zijn.

Tot slot: als veel antivirusprogramma's een bestand als malware markeren, is het een goed teken dat het malware is. Als geen enkele scanner een bestand als malware markeert, kun je niets concluderen.

Er is veel informatie beschikbaar over het schrijven of transporteren van malware om antivirusprogramma's en andere beveiligingsproducten te omzeilen. En aangezien aanvallers en verkopers van beveiligingsproducten hun producten continu verbeteren, zal er altijd wat malware zijn die AV passeert, dat wil zeggen dat er geen AV is die in staat is om te beschermen tegen alle bekende en onbekende malware zonder ook een onaanvaardbaar hoog percentage valse positieven te hebben ( dwz alles blokkeren blokkeert zeker ook alle onbekende malware, maar is niet echt nuttig).

De risico's van het doorlaten van dergelijke malware verschillen niet van het doorlaten van de gedetecteerde malware. U moet er gewoon op voorbereid zijn dat uw netwerk of machine op een bepaald moment in gevaar komt en in staat moet zijn om succesvolle aanvallen vroegtijdig te detecteren en hier snel van te herstellen.

Over het algemeen hangt het risico sterk af van de context waarin dit bestand is ontvangen en wat voor soort bestand dit is. Als het een verwacht bestand was dat door een vertrouwde persoon is verzonden, is het risico vergelijkbaar laag, hoewel het nog steeds kan zijn dat het systeem van de afzender is gecompromitteerd en malware in bestanden invoegt. Als het een bestand is dat is gedownload van een ongebruikelijke of zelfs illegale site op internet, is het risico veel groter omdat dergelijke bronnen regelmatig worden gebruikt om malware te verspreiden. Als dit een puur tekstbestand is (platte tekst, geen Office-document) of afbeelding, is het risico laag omdat er een bug in de lokale applicatie of het besturingssysteem nodig zou zijn om bepaalde ingesloten malware uit te voeren. Als het in plaats daarvan een uitvoerbaar bestand, Office-document, screensaver of iets dergelijks is, is het risico weer veel groter enz.

Ik zal aan de andere goede antwoorden hier toevoegen dat het de beste gewoonte is om exe op lange termijn op te slaan en ze regelmatig opnieuw te scannen wanneer handtekeningen worden bijgewerkt.

Wat betreft de mogelijke gevaren, het zou kunnen doen wat u ervan verwacht en niets meer. Het kan doen wat u verwacht en ook een eerste fase zijn die persistentie in uw systeem vaststelt en vervolgens naar huis belt voor meer instructies. Het kan op zichzelf destructief zijn.

Gebruik uw gezond verstand op basis van de bron en het potentiële risico voor uw systeem / omgeving.

Nieuwe code wordt niet als malware gemarkeerd, althans niet door het scannen van handtekeningen (de meest voorkomende vorm van analyse); iemand moet de handtekening toevoegen. Dynamische analyse kan het vangen, maar er zijn ook manieren om dat te omzeilen.

Ook kan zelfs oude malware, met handtekeningen op bijna alle antivirusprogramma's, worden verhuld met de juiste tools. Een polymorfe crypter kan malware immuun maken voor het scannen van handtekeningen / statische analyse en er zijn manieren om dynamische analyse / emulatie te omzeilen.

Dat gezegd hebbende, u kunt nooit 100% zeker zijn dat een uitvoerbaar bestand malware is of niet, tenzij u de source en zelf gecompileerd.