ThreatSense
ThreatSense consta de muchos métodos complejos de detección de amenazas. Esta tecnología es proactiva, lo que significa que también proporciona protección durante la fase inicial de expansión de una nueva amenaza. Utiliza una combinación de análisis de código, emulación de código, firmas genéricas y firmas de virus que funcionan de forma conjunta para mejorar en gran medida la seguridad del sistema. El motor de análisis es capaz de controlar varios flujos de datos de forma simultánea, de manera que maximiza la eficacia y la velocidad de detección. Además, la tecnología ThreatSense elimina eficazmente los programas peligrosos (rootkits).
Las opciones de configuración del motor de ThreatSense le permiten especificar varios parámetros de análisis:
•Los tipos de archivos y extensiones que se deben analizar
•La combinación de diferentes métodos de detección.
•Los niveles de desinfección, etc.
Para acceder a la ventana de configuración, haga clic en ThreatSense en la ventana Configuración avanzada de cualquier módulo que utilice la tecnología ThreatSense (consulte más abajo). Es posible que cada escenario de seguridad requiera una configuración diferente. Con esto en mente, ThreatSense se puede configurar individualmente para los siguientes módulos de protección:
•Protección del sistema de archivos en tiempo real
•Análisis de estado inactivo
•Análisis en el inicio
•Protección de documentos
•Protección del cliente de correo electrónico
•Protección del tráfico de Internet
•Análisis del ordenador
Los parámetros de ThreatSense están altamente optimizados para cada módulo y su modificación puede afectar al funcionamiento del sistema de forma significativa. Por ejemplo, la modificación de los parámetros para que siempre analicen empaquetadores de ejecución en tiempo real o la activación de la heurística avanzada en el módulo de protección del sistema de archivos en tiempo real podrían ralentizar el sistema (normalmente, con estos métodos solo se analizan los archivos recién creados). Se recomienda que no modifique los parámetros predeterminados de ThreatSense para ninguno de los módulos, a excepción de Análisis del ordenador.
Objetos a analizar
En esta sección se pueden definir los componentes y archivos del ordenador que se analizarán en busca de amenazas.
Memoria operativa: busca amenazas que ataquen a la memoria operativa del sistema.
Sectores de inicio/UEFI: analiza los sectores de inicio para detectar malware en el registro de inicio principal. Lea más sobre la UEFI en el glosario.
Archivos de correo: el programa admite las siguientes extensiones: DBX (Outlook Express) y EML.
Archivos comprimidos: el programa es compatible con las extensiones ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE y muchas más.
Archivos comprimidos autoextraíbles: los archivos comprimidos autoextraíbles (SFX) son archivos comprimidos que pueden extraerse por sí solos.
Empaquetadores en tiempo de ejecución: después de su ejecución, los empaquetadores en tiempo de ejecución (a diferencia de los archivos estándar) se descomprimen en la memoria. Además de los empaquetadores estáticos estándar (UPX, yoda, ASPack, FSG, etc.), el módulo de análisis permite reconocer varios tipos de empaquetadores adicionales gracias a la emulación de códigos.
Opciones de análisis
Seleccione los métodos empleados al analizar el sistema en busca de infiltraciones. Están disponibles las opciones siguientes:
Heurística: la heurística es un algoritmo que analiza la actividad (maliciosa) de los programas. La principal ventaja de esta tecnología es la habilidad para identificar software malicioso que no existía o que el motor de detección anterior no conocía. Su desventaja es la probabilidad (muy pequeña) de falsas alarmas.
Heurística avanzada/ADN inteligentes: la heurística avanzada es un algoritmo heurístico único desarrollado por ESET optimizado para detectar gusanos informáticos y troyanos escritos en lenguajes de programación de alto nivel. El uso de la heurística avanzada mejora en gran medida la detección de amenazas por parte de los productos de ESET. Las firmas pueden detectar e identificar virus de manera fiable. Gracias al sistema de actualización automática, las nuevas firmas están disponibles en cuestión de horas cuando se descubre una amenaza. Su desventaja es que únicamente detectan los virus que conocen (o versiones ligeramente modificadas).
Desinfección
Las opciones de desinfección determinan el comportamiento de ESET NOD32 Antivirus durante la desinfección de objetos. Hay 4 niveles de desinfección:
ThreatSense tiene los siguientes niveles de corrección (es decir, desinfección).
Corrección en ESET NOD32 Antivirus
Nivel de desinfección |
Descripción |
---|---|
Reparar la detección siempre |
Intentar corregir la detección durante la desinfección de objetos sin la intervención del usuario final. En algunos casos raros (por ejemplo, archivos del sistema), si no se puede corregir la detección, el objeto del que se informa se deja en su ubicación original. |
Reparar la detección si es seguro, mantener de otro modo |
Intentar corregir la detección durante la desinfección de objetos sin la intervención del usuario final. En algunos casos (por ejemplo, archivos del sistema o archivos comprimidos con archivos limpios e infectados), si la detección no se puede corregir, el objeto del que se informa se deja en su ubicación original. |
Reparar la detección si es seguro, preguntar de otro modo |
Intentar corregir la detección durante la desinfección de objetos. En algunos casos, si no se puede realizar ninguna acción, el usuario final recibe una alerta interactiva y debe seleccionar una acción de corrección (por ejemplo, eliminar o ignorar). Este ajuste se recomienda en la mayoría de los casos. |
Preguntar siempre al usuario final |
El usuario final recibe una ventana interactiva durante la desinfección de objetos y debe seleccionar una acción correctiva (por ejemplo, eliminar u omitir). Este nivel se ha diseñado para usuarios más avanzados que conocen los pasos necesarios en caso de detección. |
Exclusiones
Una extensión es una parte del nombre de archivo delimitada por un punto. Una extensión define el tipo y el contenido de un archivo. En esta sección de la configuración de ThreatSense, es posible definir los tipos de archivos que se desean analizar.
Otros
Al configurar parámetros del motor ThreatSense para un análisis del ordenador a petición, dispone también de las siguientes opciones en la sección Otros:
Analizar secuencias de datos alternativas (ADS): las secuencias de datos alternativos utilizadas por el sistema de archivos NTFS son asociaciones de carpetas y archivos que no se detectan con técnicas de análisis ordinarias. Muchas amenazas intentan evitar los sistemas de detección haciéndose pasar por flujos de datos alternativos.
Realizar análisis en segundo plano con baja prioridad: cada secuencia de análisis consume una cantidad determinada de recursos del sistema. Si se trabaja con programas cuyo consumo de recursos constituye una carga importante para el sistema, es posible activar el análisis en segundo plano con baja prioridad y reservar los recursos para las aplicaciones.
Registrar todos los objetos: el registro del análisis mostrará todos los archivos analizados en archivos comprimidos de autoextracción, incluso los no infectados (puede generar muchos datos de registro del análisis y aumentar el tamaño del archivo de registro del análisis).
Activar la optimización inteligente: si la opción Optimización inteligente está activada, se utiliza la configuración más óptima para garantizar el nivel de análisis más eficaz y, al mismo tiempo, mantener la máxima velocidad de análisis posible. Los diferentes módulos de protección analizan de forma inteligente, con métodos de análisis distintos y aplicados a tipos de archivo específicos. Si la optimización inteligente está desactivada, solamente se aplica la configuración definida por el usuario en el núcleo ThreatSense de los módulos donde se realiza el análisis.
Preservar el último acceso con su fecha y hora: seleccione esta opción para guardar la hora de acceso original de los archivos analizados, en lugar de actualizarlos (por ejemplo, para utilizar con sistemas de copia de seguridad de datos).
Límites
En la sección Límites se puede especificar el tamaño máximo de los objetos y los niveles de archivos anidados que se analizarán:
Configuración de los objetos
Tamaño máximo del objeto: define el tamaño máximo de los objetos que se analizarán. El módulo antivirus analizará solo los objetos que tengan un tamaño menor que el especificado. Esta opción solo deben cambiarla usuarios avanzados que tengan motivos específicos para excluir del análisis objetos más grandes. Valor predeterminado: ilimitado.
Tiempo máximo de análisis para el objeto (s): define el valor de tiempo máximo para el análisis de los archivos de un objeto contenedor (por ejemplo, un archivo comprimido RAR/ZIP o un mensaje de correo electrónico con varios archivos adjuntos). Este ajuste no se aplica a los archivos independientes. Si se ha introducido un valor definido por el usuario y ha transcurrido el tiempo, el análisis se detendrá lo antes posible, independientemente de si ha finalizado el análisis de cada archivo del objeto contenedor.
En el caso de un archivo comprimido con archivos grandes, el análisis se detendrá en cuanto se extraiga un archivo del archivo comprimido (por ejemplo, si la variable definida por el usuario es de 3 segundos, pero la extracción de un archivo tarda 5 segundos). El resto de archivos del archivo comprimido no se analizarán una vez transcurrido el tiempo.
Para limitar el tiempo de análisis, incluido el de los archivos comprimidos más grandes, utilice los ajustes Tamaño máximo del objeto y Tamaño máx. de archivo en el archivo comprimido (no se recomienda debido a posibles riesgos de seguridad).
Valor predeterminado: ilimitado.
Configuración del análisis de archivos comprimidos
Nivel de anidamiento de archivos: especifica el nivel máximo de análisis de archivos. Valor predeterminado: 10.
Tamaño máx. de archivo en el archivo comprimido: esta opción permite especificar el tamaño máximo de archivo de los archivos contenidos en archivos comprimidos (una vez extraídos) que se van a analizar. El valor máximo es 3 GB.
No se recomienda cambiar los valores predeterminados; en circunstancias normales, no debería haber motivo para hacerlo. |