Eliminación definitiva de DEXON [MOVIDO]

[MarioMeGu]

Hola a tod@s Desde hace algún tiempo (meses, años) he tenido un problema del que no tengo una solución definitiva, se trata de dexon, KES en todas sus versiones lo detecta como *not-a-virus* y lo procesa ya sea eliminando o creando una copia de seguridad de la detección. Sin embargo el equipo cliente nuevamente reporta detecciones de este archivo. Cómo puedo hacer para erradicar completamente Dexon de mi red? Premisas:

1. Tengo KSC 10.5
2. Tengo KES 10.3, KES 11.0 y KES 11.0.1
3. En las directivas de KES tengo configurado la opción detectar OTROS, Tecnología de desinfección avanzada y Heurisitca Alta
4. Todos los dispositivos administrados de KSC tiene la opción para usar KSN
5. En las reglas de firewall he restringido SBM para que solo se puede compartir desde redes confiables
6. He bloqueados los puertos 6006, 6007, 6008 y 6009 que supuestamente usa dexon
7. En las detecciones siempre muestra que el usuario que mas detecciones tiene por Dexon es NT AUTHORITY\​SYSTEM
8. He creado categorías para bloquear la ejecucción de todos los archivos que se encuentre en C:\​Windows\​SysWOW64\​dat\​Dexon\​Agent\​ y C:\​Windows\​System32\​dat\​Dexon\​Agent\​
9. He restringido desde HIP las rutas y los archivos que usa Dexon (adjunto pantallazo de la configuración)

Con todo y estas configuraciones los dispositivos se siguen viendo afectados por que dexon se copia a ellos de forma automática.

1. Qué otras reglas de firewall debo crear?
2. Como puedo restringir la ejecución del usuario NT AUTHORITY\​SYSTEM para Dexon puntualmente?
3. Cómo puedo detectar el origen del malware?

Les agradezco mucho. //Mod Note: movido a la sección apropiada.

[Guest #37]

Hola, No se trata de un virus, sino de software (con comportamiento "anómalo"), un PUA (potentially unwanted application), pero es un software legal, al fin y al cabo. Es por ello, que Kaspersky lo detecta como “not-a-virus”. Kaspersky bloquea que dicho software realice cambios importantes en el host o se pueda ejecutar, sin embargo, a través de Kaspersky no lo vas a desinstalar (no es un virus, es un programa). Existen diferentes métodos para desinstalarlo/eliminarlo: https://social.technet.microsoft.com/Forums/es-ES/e3b3424d-fc7c-4033-890d-eeefa56fe437/virus-dexon-agent-no-detectado-en-system-center-endpoint-protection?forum=seguridades https://forums.spybot.info/showthread.php?68036-Manual-Removal-Guide-for-Dexon-Agent Es el usuario local (LocalSystem account) el que lo instala (NT Authority\System). Prueba a crear una categoría en KSC con dicha aplicación y bloquea la mediante el control de aplicaciones. Saludos

[MarioMeGu]

Hola Caos Desde las directivas de KES

1. He creado categorías para bloquear la ejecucción de todos los archivos que se encuentre en C:\​Windows\​SysWOW64\​dat\​Dexon\​Agent\​ y C:\​Windows\​System32\​dat\​Dexon\​Agent\​
2. He creado una categoría manual y he agregado todos los archivos que se encuentra en las rutas anteriormente mencionadas
3. He restringido desde HIP las rutas y los archivos que usa Dexon (adjunto pantallazo de la configuración)

Aun así, los dispositivo vuelven y reportan que se ha creado dexon en las rutas. Es probable que KES bloquee su ejecución, de hecho Dexon no alcanza a ejecutarse por que el antivirus lo elimina o lo mueve cuarentena. Desde KES y KSC como puedo detectar el origen de instalación de dexon o como se copia a los dispositivos? Gracias.

[Guest #37]

Hola, Desde KSC o KES no es posible detectar el origen de dicha instalación, tal vez los eventos del sistema puedan arrojar más información o mediante el uso de un analizar de red como WhireShark. Saludos

[Fredy Alexis Arias Arenas]

Buen día, Tengo el mismo problema, he creado control de aplicaciones pero igual se crea, hay alguna forma para que antivirus no permita crear esa carpeta . Windows\SysWOW64\dat\Dexon\Agent