La tecnología ThreatSense consta de muchos métodos complejos de detección de amenazas. Esta tecnología es proactiva, lo que significa que también proporciona protección durante la fase inicial de expansión de una nueva amenaza. Utiliza una combinación de análisis de código, emulación de código, firmas genéricas y firmas de virus que funcionan de forma conjunta para mejorar en gran medida la seguridad del sistema. El motor de análisis es capaz de controlar varios flujos de datos de forma simultánea, de manera que maximiza la eficacia y la velocidad de detección. Además, la tecnología ThreatSense elimina los rootkits eficazmente.
|
|
para obtener más información sobre la comprobación automática de los archivos en el inicio, consulte Análisis en el inicio.
|
Las opciones de configuración del motor ThreatSense permiten al usuario especificar distintos parámetros de análisis:
•Los tipos de archivos y extensiones que se deben analizar.
•La combinación de diferentes métodos de detección.
•Los niveles de desinfección, etc.
Para acceder a la ventana de configuración, haga clic en Configuración de los parámetros del motor en la ventana Configuración avanzada (F5) de cualquier módulo que utilice la tecnología ThreatSense (consulte a continuación). Es posible que cada contexto de seguridad requiera una configuración diferente. Con esto en mente, ThreatSense se puede configurar individualmente para los siguientes módulos de protección:
•Protección del correo electrónico
•Protección a petición de la base de datos de buzones
•Protección de la base de datos de buzones
•Análisis Hyper-V
•Protección del sistema de archivos en tiempo real
•Análisis de malware
•Análisis de estado inactivo
•Análisis en el inicio
•Protección de documentos
•Protección del cliente de correo electrónico
•Protección del tráfico de Internet
Los parámetros de ThreatSense están altamente optimizados para cada módulo y su modificación puede afectar al funcionamiento del sistema de forma significativa. Por ejemplo, la modificación de los parámetros para que siempre analicen empaquetadores de ejecución en tiempo real o la activación de la heurística avanzada en el módulo de protección del sistema de archivos en tiempo real podrían implicar la ralentización del sistema (normalmente, solo se analizan archivos recién creados mediante estos métodos). Se recomienda que no modifique los parámetros predeterminados de ThreatSense para ninguno de los módulos, a excepción de Análisis del ordenador.
En esta sección puede definir qué componentes y archivos del ordenador se analizarán en busca de amenazas.
Memoria operativa
Busca amenazas que ataquen a la memoria operativa del sistema.
Sectores de inicio/UEFI
Analiza los sectores de inicio para detectar virus en el registro de inicio principal (MBR). Si se trata de una máquina virtual Hyper-V, el MBR del disco se analiza en el modo de solo lectura.
Base de datos de WMI
Analiza toda la base de datos de WMI en busca de referencias a archivos infectados o malware incrustado como datos.
Registro del sistema
Analiza el registro del sistema y todas las claves y subclaves en busca de referencias a archivos infectados o malware incrustado como datos.
Archivos de correo electrónico
El programa admite las extensiones: DBX (Outlook Express) y EML.
Archivos comprimidos
El programa admite las siguientes extensiones: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE y muchas más.
Archivos comprimidos de autoextracción
Los archivos comprimidos de autoextracción (SFX) son archivos que no necesitan programas especializados (archivos comprimidos) para descomprimirse.
Empaquetadores en tiempo real
Después de su ejecución, los empaquetadores en tiempo real (a diferencia de los archivos estándar) se descomprimen en la memoria. Además de los empaquetadores estáticos estándar (UPX, yoda, ASPack, FSG, etc.), el módulo de análisis es capaz de reconocer varios tipos de empaquetadores adicionales gracias a la emulación de códigos.
|
|
En el caso de la función de protección de la base de datos de buzones, los archivos de correo electrónico que se adjunten (por ejemplo, .eml files) se analizan independientemente del ajuste de Objetos a analizar. Esto se debe a que el servidor Exchange analiza el archivo .eml adjunto antes de que se envíe para que ESET Mail Security lo analice. El complemento VSAPI obtiene los archivos extraídos del archivo .eml adjunto en lugar de recibir el archivo .eml original.
|
|
Seleccione los métodos empleados al analizar el sistema en busca de infiltraciones. Están disponibles las opciones siguientes:
Heurística
La heurística es un algoritmo que analiza la actividad (maliciosa) de los programas. La principal ventaja de esta tecnología es la habilidad para identificar software malicioso que no existía o que el motor de detección anterior no conocía.
Heurística avanzada/ADN inteligentes
La heurística avanzada es un algoritmo heurístico único desarrollado por ESET, y optimizado para detectar gusanos informáticos y troyanos escritos en lenguajes de programación de alto nivel. El uso de la heurística avanzada mejora en gran medida la detección de amenazas por parte de los productos de ESET. Las firmas pueden detectar e identificar virus de manera fiable. Gracias al sistema de actualización automática, las nuevas firmas están disponibles en cuestión de horas cuando se descubre una amenaza. Su desventaja es que únicamente detectan los virus que conocen (o versiones ligeramente modificadas).
|
La configuración de desinfección determina el comportamiento del análisis durante la desinfección de archivos infectados. La protección en tiempo real y otros módulos de protección tienen los siguientes niveles de corrección (es decir, desinfección).
Reparar la detección siempre
Se intenta corregir la detección durante la desinfección de objetos sin la intervención del usuario. Los archivos del sistema son una excepción. Estos objetos se dejan en su ubicación original si no se puede corregir la detección.
Reparar la detección si es seguro, mantener de otro modo
Se intenta corregir la detección durante la desinfección de objetos sin la intervención del usuario. Si no se puede corregir una detección de archivos o archivos comprimidos del sistema (con archivos desinfectados e infectados), el objeto del que se informa se conserva en su ubicación original.
Reparar la detección si es seguro, preguntar de otro modo
Se intenta corregir la detección durante la desinfección de objetos. En algunos casos, si ESET Mail Security no puede realizar una acción automática, se le pedirá que elija una acción (eliminar o ignorar). Este ajuste se recomienda en la mayoría de los casos.
Preguntar siempre al usuario final
ESET Mail Security no tratará de realizar ninguna acción automática. Se le pedirá que elija una acción.
|
Una extensión es una parte del nombre de archivo delimitada por un punto que define el tipo y el contenido del archivo. En este apartado de la configuración de parámetros de ThreatSense es posible definir los tipos de archivos que se desean excluir del análisis.
Otros
Al configurar parámetros del motor ThreatSense para un análisis del ordenador a petición, dispone también de las siguientes opciones en la sección Otros:
Analizar secuencias de datos alternativas (ADS)
Las secuencias de datos alternativos utilizadas por el sistema de archivos NTFS son asociaciones de carpetas y archivos que no se detectan con técnicas de análisis ordinarias. Muchas amenazas intentan evitar los sistemas de detección al hacerse pasar por secuencias de datos alternativas.
Realizar análisis en segundo plano con baja prioridad
Cada secuencia de análisis consume una cantidad determinada de recursos del sistema. Si se trabaja con programas cuyo consumo de recursos constituye una carga importante para el sistema, es posible activar el análisis en segundo plano con baja prioridad y reservar los recursos para las aplicaciones.
Registrar todos los objetos
Si se selecciona esta opción, el archivo de registro mostrará todos los archivos analizados, incluso los que no estén infectados.
Activar la optimización inteligente
Si la opción Optimización inteligente está activada, se utiliza la configuración óptima para garantizar el nivel de análisis más eficaz y, al mismo tiempo, mantener la máxima velocidad de análisis posible. Los diferentes módulos de protección analizan de forma inteligente, con métodos de análisis distintos y aplicados a tipos de archivo específicos. Si la Optimización inteligente está desactivada, solamente se aplica la configuración definida por el usuario en el núcleo de ThreatSense de los módulos en los que se realice el análisis.
Preservar el último acceso con su fecha y hora
Seleccione esta opción para guardar la hora de acceso original de los archivos analizados, en lugar de actualizarlos (por ejemplo, para utilizar con sistemas de copia de seguridad de datos).
|
En la sección Límites se puede especificar el tamaño máximo de los objetos y los niveles de archivos anidados que se analizarán:
Usar parámetros predeterminados del objeto
Active esta opción para utilizar la configuración predeterminada (sin límite). ESET Mail Security ignorará la configuración personalizada.
Tamaño máximo del objeto
Define el tamaño máximo de los objetos que se analizarán. A continuación, el módulo de protección correspondiente analizará solo objetos que tengan un tamaño menor que el especificado. Esta opción solo deben cambiarla usuarios avanzados que puedan tener motivos específicos para excluir del análisis objetos mayores. Valor predeterminado: ilimitado.
Tiempo máximo de análisis para el objeto (seg.)
Define el valor de tiempo máximo para analizar un objeto. Si aquí se ha introducido un valor definido por el usuario, el módulo de protección dejará de analizar un objeto cuando haya transcurrido ese tiempo, independientemente de si el análisis ha finalizado. Valor predeterminado: ilimitado.
Configuración del análisis de archivos comprimidos
Para modificar la configuración de análisis de archivos comprimidos, desactive la opción Configuración predeterminada para el análisis de archivos comprimidos.
Nivel de anidamiento de archivos
Especifica el nivel máximo de análisis de archivos. Valor predeterminado: 10. En los objetos detectados por Protección del transporte del buzón, el nivel real de anidamiento es +1 porque adjuntar archivos comprimidos en un mensaje de correo electrónico se considera de primer nivel.
|
|
Si tiene el nivel de anidamiento configurado en 3, un archivo con nivel de anidamiento 3 solo se analizará en una capa de transporte hasta su nivel 2 real. Por lo tanto, si quiere que Protección del transporte del buzón analice los archivos hasta el nivel 3, configure el valor de Nivel de anidamiento de archivos en 4.
|
Tamaño máx. de archivo en el archivo comprimido
Esta opción le permite especificar el tamaño máximo de archivo de los archivos contenidos en archivos comprimidos (una vez extraídos) que se van a analizar. Valor predeterminado: ilimitado.
|
|
no se recomienda cambiar los valores predeterminados; en circunstancias normales, no debería haber motivo para hacerlo.
|
|
