|
|
|
|
|
|
Sucesos
|
Descripción
|
|---|---|
|
Archivo de sistema duplicado
|
Muchos programas maliciosos crean copias de sí mismos o de otros programas maliciosos
utilizando nombres de archivos usados por los archivos del sistema de Windows. Esto
lo hacen normalmente para sobrescribir o sustituir archivos del sistema, evitar ser
detectados o evitar que los usuarios eliminen los archivos maliciosos.
|
|
Modificación del archivo Hosts
|
El archivo Hosts hace coincidir los nombres de los dominios con las direcciones IP.
Muchos programas maliciosos modifican el archivo Hosts para que el explorador Web
entre en sitios Web infectados, falsos o que no existen.
|
|
Comportamiento sospechoso
|
Un comportamiento sospechoso puede ser una acción específica o una serie de acciones
que llevan a cabo de manera extraña los programas legítimos. Los programas que muestran
un comportamiento sospechoso se deben utilizar con precaución.
|
|
Nuevo complemento de Internet Explorer
|
Programas de spyware y grayware que a menudo instalan complementos de Internet Explorer
no deseados, incluidas barras de herramientas y objetos auxiliadores del explorador.
|
|
Modificación de la configuración de Internet Explorer
|
Muchos virus o malware cambian elementos de la configuración de Internet Explorer,
incluidos la página de inicio, sitios Web de confianza, configuración del servidor
proxy y extensiones de menú.
|
|
Modificación de la política de seguridad
|
Las modificaciones realizadas en la política de seguridad de Windows pueden permitir
a las aplicaciones no deseadas ejecutarse y realizar cambios en la configuración del
sistema.
|
|
Inyección en la biblioteca del programa
|
Muchos programas maliciosos configuran Windows para que todas las aplicaciones carguen
de forma automática una biblioteca de programas (DLL). Esto permite a las rutinas
maliciosas de la DDL ejecutarse cada vez que se inicia una aplicación.
|
|
Modificación del shell
|
Muchos programas maliciosos modifican la configuración del shell de Windows para asociarse
a determinados tipos de archivos. Esta rutina permite a los programas maliciosos iniciarse
automáticamente si los usuarios abren los archivos asociados en el Explorador de Windows.
Los cambios en la configuración del shell de Windows pueden también permitir a los
programas maliciosos realizar un seguimiento de los programas utilizados e iniciar
aplicaciones legítimas cercanas.
|
|
Nuevo servicio
|
Los servicios de Windows son procesos que cuentan con funciones especiales y normalmente
se ejecutan continuamente en segundo plano con acceso administrativo completo. A veces
los programas maliciosos se instalan como servicios para permanecer ocultos.
|
|
Modificación de archivos del sistema
|
Algunos archivos del sistema de Windows determinan el comportamiento del sistema,
incluidos los programas de arranque y la configuración del salvapantallas. Muchos
programas maliciosos modifican los archivos del sistema para que se inicien automáticamente
en el arranque y controlar el comportamiento del sistema.
|
|
Modificación de la política del Firewall
|
La política del Firewall de Windows determina qué aplicaciones tienen acceso a la red, qué puertos se abren para establecer la comunicación y la dirección IP que puede comunicarse con el equipo. Muchos programas maliciosos modifican esta política para poder acceder a la red y a Internet. |
|
Modificación de los procesos del sistema
|
Muchos programas maliciosos llevan a cabo varias acciones en los procesos integrados
de Windows. Estas acciones pueden incluir la finalización o la modificación de los
procesos de ejecución.
|
|
Nuevo programa de inicio
|
Muchos programas maliciosos configuran Windows para que todas las aplicaciones carguen
de forma automática una biblioteca de programas (DLL). Esto permite a las rutinas
maliciosas de la DDL ejecutarse cada vez que se inicia una aplicación.
|
|
Acción
|
Descripción
|
||
|---|---|---|---|
|
Valorar
|
OfficeScan permite siempre los programas asociados a un suceso, pero registra la acción
en los registros para su valoración.
Esta es la acción predeterminada para los sucesos del sistema supervisado.
|
||
|
Permitir
|
OfficeScan permite siempre los programas asociados a un suceso.
|
||
|
Preguntar en caso necesario
|
OfficeScan solicita a los usuarios que permitan o denieguen programas asociados a
un suceso y que añadan dichos programas a la lista de excepciones.
Si el usuario no responde una vez transcurrido un determinado periodo de tiempo, OfficeScan
permite de forma automática que el programa se ejecute. El periodo de tiempo predeterminado
es de 30 segundos. Para modificar el periodo de tiempo, consulte Configuración de las opciones de supervisión de comportamiento global.
|
||
|
Denegar
|
OfficeScan bloquea siempre los programas asociados a un suceso e incluye la acción
en los registros.
Cuando se bloquea un programa y las notificaciones están activadas, OfficeScan muestra
una notificación en el equipo cliente de OfficeScan. Para obtener información detallada acerca de las notificaciones, consulte Notificaciones de Supervisión del comportamiento para usuarios del cliente de OfficeScan.
|
