ThreatSense es una tecnología conformada por muchos métodos complejos de detección de amenazas. Esta tecnología es proactiva, lo que significa que también brinda protección durante las primeras horas de propagación de una nueva amenaza. usa una combinación de la exploración del código, la emulación del código, las firmas genéricas y las firmas de virus que funcionan conjuntamente para mejorar en forma significativa la seguridad del sistema. El motor de exploración cuenta con la capacidad de controlar varios flujos de datos simultáneamente, lo que maximiza la eficiencia y la tasa de detección. La tecnología ThreatSense también elimina con éxito los rootkits.
Las opciones de configuración del motor ThreatSense permiten especificar varios parámetros de exploración:
•los tipos de archivos y las extensiones que se van a explorar;
•La combinación de diversos métodos de detección.
•Los niveles de desinfección, etc.
Para ingresar a la ventana de configuración, haga clic en Configuración de los parámetros del motor en la ventana de Configuración avanzada (F5) de cualquier módulo que use la tecnología ThreatSense (ver abajo). Diferentes escenarios de seguridad pueden requerir distintas configuraciones. Por ese motivo, ThreatSense puede configurarse en forma individual para cada uno de los siguientes módulos de protección:
•Protección del transporte de correo electrónico
•Protección de la base de datos del buzón de correo a petición
•Protección de la base de datos de correo electrónico
•Exploración Hyper-V
•Protección del sistema de archivos en tiempo real
•Exploración de malware
•Exploración en estado inactivo
•Exploración al inicio
•Protección de documentos
•Protección del cliente de correo electrónico
•Protección del acceso a la Web
Los parámetros de ThreatSense están sumamente optimizados para cada módulo y su modificación puede afectar el funcionamiento del sistema en forma significativa. Por ejemplo, la modificación de los parámetros para que siempre se exploren los empaquetadores de tiempo de ejecución, o la habilitación de la heurística avanzada en el módulo de protección del sistema de archivos en tiempo real podrían ralentizar el sistema (normalmente, solo los nuevos archivos creados se exploran con estos métodos). En consecuencia, es recomendable mantener los parámetros predeterminados de ThreatSense sin modificaciones en todos los módulos excepto para la exploración del equipo.
Esta sección le permite definir qué componentes y archivos del equipo se explorarán en busca de infiltraciones.
Memoria operativa
Explora en busca de amenazas que atacan la memoria operativa del sistema.
Sectores de inicio/UEFI
Explora los sectores de inicio para detectar la presencia de virus en el MBR (Master Boot Record). En caso de una máquina virtual de Hyper-V, el MBR de su disco se explora en el modo solo lectura.
Base de datos WMI
Explora toda la base de datos de WMI en busca de referencias a archivos infectados o malware incrustados como datos.
Registro del sistema
Explora todo el registro del sistema, todas las claves y las subclaves en busca de referencias a archivos infectados o malware incrustados como datos.
Archivos de correo electrónico
El programa es compatible con las siguientes extensiones: DBX (Outlook Express) y EML.
Archivos
El programa es compatible con las siguientes extensiones: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE, entre muchas otras.
Archivos comprimidos de autoextracción
Los archivos comprimidos de autoextracción (SFX) son archivos comprimidos que no necesitan ningún programa de extracción especializado para descomprimirse.
Empaquetadores de tiempo de ejecución
Después de su ejecución, los empaquetadores de tiempo de ejecución (a diferencia de los tipos de archivos comprimidos estándar) se descomprimen en la memoria. Además de los empaquetadores estáticos estándar (UPX, yoda, ASPack, FSG, etc.), el explorador puede reconocer varios tipos de empaquetadores adicionales mediante el uso de la emulación del código.
|
|
En el caso de la protección de la base de datos del buzón de mensajes, los archivos de correo electrónico como datos adjuntos (por ejemplo .eml files) se exploran independientemente de la configuración bajo Objetos para explorar. Esto se debe a que el Servidor de Exchange analiza los datos adjuntos .eml antes de enviarlo a ESET Mail Security para que lo explore. El complemento VSAPI obtiene los archivos extraídos de los datos adjuntos del .eml en lugar de recibir el archivo .eml original.
|
|
Seleccione los métodos usados al explorar el sistema en busca de infiltraciones. Se encuentran disponibles las siguientes opciones:
Heurística
La heurística es un algoritmo que analiza la actividad (maliciosa) de los programas. La ventaja principal de esta tecnología radica en su capacidad de identificar software malicioso que antes no existía o que no era reconocido por el motor de detección anterior.
Heurística avanzada/ADN inteligentes
La heurística avanzada está compuesta por un algoritmo heurístico exclusivo, desarrollado por ESET, optimizado para detectar gusanos informáticos y troyanos que fueron creados con lenguajes de programación de última generación. El uso de la heurística avanzada incrementa significativamente la capacidad de detección de amenazas de los productos de ESET. Las firmas tienen la capacidad de detectar e identificar los virus en forma confiable. Mediante el uso del sistema de actualizaciones automáticas, las nuevas firmas están disponibles en el transcurso de unas pocas horas tras el descubrimiento de una amenaza. La desventaja de las firmas es que solo detectan los virus que ya conocen (o las versiones ligeramente modificadas de estos virus).
|
La configuración de limpieza determina el comportamiento del explorador durante la limpieza de archivos infectados. La protección en tiempo real y otros módulos de protección tienen los siguientes niveles de corrección (es decir, limpieza).
Reparar siempre la detección
Intentar corregir la detección durante la limpieza de objetos sin la intervención del usuario. Los archivos del sistema son una excepción. Estos objetos se dejan en su ubicación original si no se puede corregir la detección.
Reparar detección si es seguro. Caso contrario, conservar
Intentar corregir la detección durante la limpieza de objetos sin la intervención del usuario. Si no se puede corregir una detección de archivos o archivos comprimidos del sistema (con archivos limpios e infectados), el objeto informado se conserva en su ubicación original.
Reparar detección si es seguro. Caso contrario, consultar
Intentar corregir la detección durante la limpieza de objetos. En algunos casos, si ESET Mail Security no puede realizar una acción automática, se le pedirá que elija una acción (quitar o ignorar). Esta configuración se recomienda en la mayoría de los casos.
Preguntar siempre al usuario final
ESET Mail Security no realizará ninguna acción automática. Se le pedirá que elija una acción.
|
Una extensión es la parte delimitada por un punto en el nombre de un archivo. Una extensión define el tipo de archivo y su contenido. Esta sección de la configuración de los parámetros de ThreatSense permite definir los tipos de archivos a excluir de la exploración.
Otros
Cuando se configuran los valores de los parámetros del motor ThreatSense para una exploración del equipo a petición, las siguientes opciones en la sección Otros también están disponibles:
Explorar secuencias de datos alternativas (ADS)
Las secuencias de datos alternativas usadas por el sistema de archivos NTFS constituyen asociaciones de archivos y carpetas que son invisibles para las técnicas comunes de exploración. Muchas infiltraciones intentan evitar la detección camuflándose como secuencias de datos alternativas.
Ejecutar exploraciones en segundo plano con baja prioridad
Cada secuencia de exploración consume una cantidad determinada de recursos del sistema. Si se trabaja con programas cuyo consumo de recursos constituye una carga importante para los recursos del sistema, es posible activar la exploración en segundo plano con baja prioridad y reservar los recursos para las aplicaciones.
Registrar todos los objetos
Si se selecciona esta opción, el archivo de registro mostrará todos los archivos explorados, incluso los que no estén infectados.
Habilitar la optimización inteligente
Cuando la opción para habilitar la optimización inteligente está seleccionada, se usa la configuración favorable para garantizar el nivel de exploración más eficiente, al mismo tiempo que mantiene la mayor velocidad de exploración. Los diversos módulos de protección realizan exploraciones en forma inteligente; para ello emplean distintos métodos de exploración y los aplican a tipos de archivos específicos. Si se deshabilita la Optimización inteligente, solo se aplica la configuración definida por el usuario en el núcleo ThreatSense de los módulos específicos al realizar una exploración.
Preservar el último acceso con su fecha y hora
Seleccione esta opción para preservar la hora de acceso original a los archivos explorados en vez de actualizarla (por ejemplo, para usarlos con sistemas que realizan copias de seguridad de datos).
|
La sección Límites permite especificar el tamaño máximo de los objetos y los niveles de los archivos comprimidos anidados que se explorarán:
Configuración predeterminada del objeto
Habilitar para utilizar la configuración predeterminada (sin límites). ESET Mail Security ignorará la configuración personalizada.
Tamaño máximo del objeto
Define el tamaño máximo de los objetos que se van a explorar. El módulo de protección determinado explorará solamente los objetos con un tamaño inferior al especificado. Los únicos que deberían modificar esta opción son los usuarios avanzados que tengan motivos específicos para excluir objetos de mayor tamaño de la exploración. Valor predeterminado: ilimitado.
Tiempo máximo de exploración para el objeto (seg.)
Define el valor máximo de tiempo para explorar un objeto. Si en esta opción se ingresó un valor definido por el usuario, el módulo de protección detendrá la exploración de un objeto cuando haya transcurrido dicho tiempo, sin importar si finalizó la exploración. Valor predeterminado: ilimitado.
Configuración de la exploración de archivos comprimidos
Para modificar la configuración de la exploración del archivo, anule la selección de Configuración predeterminada para la exploración de archivos comprimidos.
Nivel de anidado de archivos comprimidos
Especifica la profundidad máxima de la exploración de archivos comprimidos. Valor predeterminado: 10. Para objetos detectados por la protección de transporte del buzón de correo, el nivel de anidado real es +1 porque un archivo adjunto en un correo electrónico se considera de primer nivel.
|
|
Si tiene el nivel de anidado configurado en 3, un archivo con un nivel de anidado 3 solo se examinará en una capa de transporte hasta su nivel 2 real. Por lo tanto, si desea que la protección de transporte de buzón de correo lo analice hasta el nivel 3, configure el valor de nivel de anidado de archivo a 4.
|
Tamaño máximo del archivo incluido en el archivo comprimido
Esta opción permite especificar el tamaño máximo de los archivos incluidos en archivos comprimidos (al extraerlos) que se explorarán. Valor predeterminado: ilimitado.
|
|
no se recomienda cambiar los valores predeterminados; en circunstancias normales, no existe ninguna razón para modificarlos.
|
|
