Análisis heurístico
En las versiones Dr.Web 9-11.5 este módulo se llamaba la Protección preventiva.
Gracias al módulo El análisis heurístico, Dr.Web puede:
- proteger contra la penetración de los programas nocivos más nuevos y peligrosos hoy día, desarrollados para no ser detectados por los mecanismos tradicionales de firmas y heurísticos, los objetos, la información sobre los cuales no ha llegado al sistema de protección (por ejemplo, porque no han sido descargadas las últimas actualizaciones)
- detectar los cambios de archivos no deseados de archivos de usuario, supervisando el funcionamiento de todos los procesos en el sistema en busca de acciones características para los programas nocivos (por ejemplo, de troyanos extorsionistas) impidiendo que los objetos nocivos se implementen en los procesos de otros programas
- detectar y neutralizar las amenazas más recientes aún desconocidas: los troyanos extorsionistas (cifradores), los inyectores, los objetos nocivos administrados de forma remota (difundidos para organizar botnets y espionaje), así como los comprimidores de virus
Configuración
Vamos a ver con más detalle qué le ofrece al usuario la habilitación de cada ajuste.
Archivo HOSTS
Este archivo permite determinar la correspondencia entre el nombre de dominio de host y su dirección IP. La prioridad de procesamiento del archivo HOSTS es mayor que la prioridad de consulta del servidor DNS.
El archivo HOSTS les permite a los malintencionados bloquear el acceso a los sitios web de empresas antivirus y redirigir a los usuarios a sitios web sospechosos.
Dr.Web no permite a los programas malintencionados realizar cambios en el archivo HOSTS y redirigir a los usuarios a recursos de phishing.
Integridad de las aplicaciones activas
Un proceso — es un conjunto de recursos y datos que están en la memoria operativa del equipo. Un proceso de un programa no debe cambiar el proceso de otro programa. Pero los programas malintencionados? por ejemplo, Trojan.Encoder.686 (CTB-Locker). violan esta regla.
Dr.Web no permite que los programas malintencionados penetren en procesos de otros programas (por ejemplo, prohíbe a los troyanos cambiar el proceso del navegador para obtener acceso al sistema de banca en línea), y asimismo no les permite realizar su funcionalidad parcialmente ni completamente.
Acceso de bajo nivel al disco
En caso de funcionamiento ordinario del sistema operativo Windows, el acceso a los archivos se realiza por medio de consultar el sistema de archivos controlado por el SO. Los troyanos-bootkits que cambian las áreas de carga del disco, consultan el disco directamente, esquivando el sistema de archivos Windows — consultando los sectores determinados del disco.
La penetración de un troyano en el área de descarga dificulta considerablemente tanto la detección del mismo como el proceso de desinfección.
Dr.Web bloquea la posibilidad del cambio de las áreas de carga del disco por programas malintencionados y previene el inicio de troyanos en un equipo.
Inicio de controladores
Muchos rootkits inician sus controladores de forma oculta y servicios para ocultar su presencia en un equipo y realizar las acciones no sancionadas por el usuario, por ejemplo, enviar nombres de usuarios y contraseñas, así como otra información de identificación a los malintencionados.
Dr.Web no permite iniciar controladores nuevos o desconocidos sin que lo sepa el usuario.
Opciones de inicio de aplicaciones
En el registro del SO Windows hay una clave (entry) Image File Execution Options usando la cual para cualquier aplicación Windows se puede asignar un programa que ayuda a los informáticos a depurar el código escrito, asimismo, permitiendo modificar los datos del proceso depurado. Usando esta clave, el software malintencionado, al haber sido asignado como depurador de algún proceso del sistema o de aplicación (por ejemplo, de Internet Explorer o navegador), obtiene acceso completo a lo que interesa a los malintencionados.
Dr.Web bloquea el acceso a la clave del registro Image File Execution Options. Los usuarios ordinarios no tienen necesidad real de depurar las aplicaciones al vuelo, y el riesgo de usar la clave Image File Execution Options por programas malintencionados es muy alto.
Controladores de dispositivos multimedia
Se conocen algunos programas malintencionados que crean archivos ejecutables y registran los mismos como dispositivos virtuales.
Dr.Web bloquea las ramas del registro responsables de controladores de dispositivos virtuales, lo que imposibilita la instalación de un nuevo dispositivo virtual.
Opciones del caparazón Winlogon, Notificadores Winlogon
La interfaz de Winlogon notification package realiza la posibilidad de procesar los eventos asignados para la entrada y salida de usuarios, inicio y finalización del sistema operativo, y algunos otros. Los programas malintencionados, al obtener acceso a Winlogon notification package, pueden reiniciar el SO, desconectar el equipo, impedir que los usuarios entren en el entorno de trabajo del SO. Así funcionan, por ejemplo, Trojan.Winlock.3020, Trojan.Winlock.6412.
Dr.Web prohibe la modificación de las ramas del registro responsables de Winlogon notification package, y no permite que los programas malintencionados añadan la ejecución de las nuevas tareas necesarias para los malintencionados, a la lógica del funcionamiento del sistema operativo.
Autoinicio del caparazón Windows
La opción bloquea varias opciones a la vez en el registro Windows en la rama [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: por ejemplo, AppInit_DLLs (hace que Windows descargue los DLL indicados cada vez al iniciar algún programa), AppInit_DLLs (puede usarse para implementar un rootkit en Windows), Run (necesario para iniciar programas en aspecto minimizado una vez iniciado el sistema operativo), IconServiceLib (responsable de la carga de la biblioteca IconCodecService.dll, necesaria para la visualización normal del escritorio e iconos de la pantalla).
Dr.Web bloquea algunas opciones en el registro Windows, por ejemplo, impidiendo que los virus cambien la visualización normal del Escritorio o impidiendo al rootkit ocultar la presencia del troyano en el sistema.
Asociaciones de archivos ejecutables
Algunos programas malintencionados violan las asociaciones de archivos ejecutables, y como resultado, los programas no se inician – o en vez de un programa que necesita el usuario se inicia un programa asignado por el software malintencionado.
Dr.Web no permite que el software malintencionado modifique las reglas de inicio de programas.
Directivas de restricción de inicio de programas (SRP)
En Windows es posible configurar el sistema de restricción de inicio de programas (SRP) para permitir el inicio de programas solo desde carpetas determinadas (por ejemplo, Program Files) y prohibir la ejecución de programas desde otras fuentes. El bloqueo de la rama del registro responsable de configuración de directivas SRP, prohíbe realizar modificaciones en directivas ya configuradas, de esta forma, mejorando la protección ya realizada.
Dr.Web permite proteger el sistema contra el software malintencionado que llega al equipo a través del correo y dispositivos extraíbles — y que se inicia, por ejemplo, desde un catálogo temporal. Se recomienda usar la opción en el entorno corporativo.
Complementos de Internet Explorer (BHO)
Usando esta configuración, se puede prohibir la instalación de los nuevos complementos para Internet Explorer por medio de bloquear la rama correspondiente del registro.
Dr.Web protege el navegador contra complementos malintencionados, por ejemplo, contra bloqueadores del navegador.
Autoinicio de programas
Prohíbe la modificación de varias ramas del registro responsables de autoinicio de aplicaciones.
Dr.Web permite impedir el autoinicio de programas malintencionados para que los mismos no puedan registrarse en el registro para el inicio posterior.
Autoinicio de directivas
La opción bloquea la rama del registro usando la cual se puede iniciar cualquier programa al entrar un usuario en el sistema.
Dr.Web permite impedir el autoinicio de programas determinados, por ejemplo, de los antivirus.
Configuración del modo de seguridad
Algunos troyanos deshabilitan el modo de seguridad de Windows para impedir la desinfección del equipo.
Dr.Web previene la desactivación del modo de seguridad por medio de bloquear los cambios del registro.
Opciones del administrador de sesiones
La opción protege las opciones del administrador de sesiones Windows – un sistema del cual depende la estabilidad de funcionamiento del sistema operativo. Si no hay este bloqueo, los programas malintencionados obtienen la posibilidad de iniciar los variables del entorno, inicio de algunos procesos del sistema. realización de operaciones de eliminar. mover o copiar archivos hasta el inicio completo del sistema etc.
Dr.Web protege el sistema operativo contra la implementación de programas malintencionados, el inicio de los mismos hasta el inicio completo del sistema operativo — y, por lo tanto, hasta el inicio completo del antivirus.
Servicios del sistema
La opción protege la modificación de opciones del registro responsables del funcionamiento correcto de servicios del sistema.
Algunos virus pueden bloquear el editor del registro, complicando el trabajo normal del usuario. Por ejemplo, limpian el Escritorio de accesos directos de programas instalados o no permiten mover archivos.
Dr.Web no permite que el software malintencionado afecte al funcionamiento correcto de servicios del sistema, por ejemplo, a la creación ordinaria de copias de seguridad de archivos.
Modos de configuración
Se ofrecen cuatro modos de configuración al usuario: óptimo (habilitado por los desarrolladores de forma predeterminada), medio, paranóico y de usuario.
En modo óptimo están protegidas solo las ramas del registro que se usan por programas malintencionados y pueden ser bloqueadas (se puede prohibir la modificación de las mismas) — sin cargar demasiado los recursos del equipo.
Al mejorar el modo, el sistema se protege mejor de las acciones del software malintencionado aún desconocido para la base de virus Dr.Web, pero al mismo tiempo aumenta el riesgo de conflictos entre las prohibiciones de la protección preventiva y las necesidades de las aplicaciones iniciadas.
