Operación peligrosa bloqueada Operación peligrosa bloqueadaEl motor de bloqueo por comportamiento se compone de un conjunto de reglas referidas a acciones maliciosas típicas realizadas o explotadas por un grupo de programas. Las reglas de bloqueo por comportamiento incluidas en se agrupan en cuatro áreas:
Regla 4001: Regla genérica que bloquea la instalación de rootkits TDSS.
Reglas 4002 & 4003: Bloquean el malware de tipo ‘autorun’. Limitan la creación y modificación del archivo autorun.inf
Reglas 4004 & 4005: Bloquean los instaladores de ciertos falsos antivirus o ‘rogueware’.
Reglas 4006 & 4007: Evitan la instalación de troyanos de la familia Lineage.
Reglas 4009 & 4010: Todas las variantes del virus W32/Viking crean archivos con el mismo nombre, por lo que se evita la ejecución y creación de dichos archivos.
Regla 4011: Bloquea la ejecución y creación de archivos y procesos típicos del malware W32/Beagle.
Regla 4008: Una aplicación (cliente de correo, MSN, MI, reproductor de vídeo/sonido) está intentando modificar el archivo hosts. Esto es típico de modificaciones maliciosas del sistema operativo que intentan redirigir sitios Web a hosts comprometidos.
Reglas 4013 & 4014: En caso de que exista el archivo c:\explorer.exe, Windows lo ejecuta en lugar del auténtico Windows Explorer. Si recibe un mensaje de alerta es que algún tipo de malware está intentando crear o ejecutar el archivo c:\explorer.exe. Esto puede resultar peligroso.
Regla 5001: En condiciones normales, las aplicaciones del servidor DNS no necesitan crear o ejecutar archivos ejecutables. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5003: En condiciones normales, los clientes de correo, MSN, las aplicaciones de MI, los reproductores de video/sonido, los editores de texto, las aplicaciones de ofimática, los compresores, etc. no necesitan ejecutar herramientas administrativas, de red, o de línea de comandos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5004: En condiciones normales, las aplicaciones del servidor de red no necesitan ejecutar herramientas administrativas, de red, o de línea de comandos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5008: En condiciones normales, ciertas aplicaciones no necesitan crear archivos ejecutables en el sistema. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5023: En condiciones normales, los procesos del servidor SQL no necesitan crear o ejecutar archivos ejecutables. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5002: En condiciones normales, los navegadores Web no necesitan ejecutar herramientas administrativas, de red, o de línea de comandos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5005: En condiciones normales, los navegadores Web no necesitan ejecutar archivos de directorios de programas descargados. Esta regla previene vulnerabilidades del navegador IE aprovechadas por malware que descarga programas de forma no autorizada (‘drive-by downloaders’). Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Reglas 5020 & 5021: Impide que vulnerabilidades de Internet Explorer exploten la aplicación Microsoft HTML Application Host para crear y ejecutar código malicioso. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad del navegador IE.
Regla 5006: En condiciones normales, las aplicaciones multimedia no necesitan ejecutar archivos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5007: En condiciones normales, Windows Media Player no necesita ejecutar archivos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Reglas 5009 & 5014: En condiciones normales, Microsoft Word no necesita crear archivos ejecutables en el sistema. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Reglas 5010 & 5015: En condiciones normales, Microsoft Excel no necesita crear archivos ejecutables en el sistema. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Reglas 5011 & 5016: En condiciones normales, Microsoft PowerPoint no necesita crear archivos ejecutables en el sistema. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Reglas 5012 & 5017: En condiciones normales, los lectores de PDF no necesitan crear archivos ejecutables en el sistema. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Reglas 5013 & 5018: En condiciones normales, Open Office no necesita crear archivos ejecutables en el sistema. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Regla 5019: En condiciones normales, las aplicaciones de Exchange Server no necesitan ejecutar herramientas administrativas, de red, o de línea de comandos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad de Exchange Server.
Regla 5022: En condiciones normales, las aplicaciones de Internet Information Server (IIS) no necesitan ejecutar herramientas administrativas, de red, o de línea de comandos. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad en IIS.
Regla 5024: Regla genérica que bloquea la explotación de ciertas aplicaciones del sistema operativo y de terceros que intentan crear y ejecutar código malicioso. Si recibe un mensaje de alerta es que se está explotando algún tipo de vulnerabilidad.
Gracias al motor de bloqueo por comportamiento, es capaz de proteger de un modo genérico y proactivo contra una amplia gama de malware y exploits especializados en evitar la detección basada en firmas y heurística. Más importante aún, es capaz de hacerlo sin ningún tipo de impacto en el rendimiento del sistema.