Menu

Eficacia frente a los expedientes sospechosos


La descarga de grietas, keygens, música y vídeos ilegales es una de las principales vías de infección en el PC. Hoy en día, casi el 100% de las grietas y keygens se entregan con un rootkit y un descargador. En otras palabras, un código de descarga oculto descarga todo tipo de malware sin el conocimiento del usuario. Además, muchos «salvapantallas» gratuitos y algunos programas informáticos «gratuitos» se utilizan como soporte de propagación de spyware y adware bastante intrusivos.

MSE consulta un servicio de firma dinámico

En papel, MSE detecta archivos sospechosos utilizando un conjunto de firmas que se descargan permanentemente a través de Windows Update. Supervisa el malware emergente y comprueba la existencia de nuevas firmas casi en tiempo real. Por lo tanto, cuando un archivo o programa se comporta de manera anormal, MSE consulta un servicio de firma dinámico para ver si debe ser enviado para su análisis o simplemente detenido.

Estas acciones sospechosas incluyen, por ejemplo, intentar modificar elementos privilegiados del sistema o descargar contenido que se sabe que es dañino; estas acciones requerirán automáticamente actualizaciones del servicio de firma dinámico. Esto permite entregar firmas a los usuarios en tiempo real en función de la presencia de un código cuyo comportamiento se considera sospechoso. Las pruebas demostraron que, en la práctica, el software tenía un comportamiento parecido al de la teoría y mostraba tasas de detección interesantes.

Decepcionante en la detección de Keyloggers

Para probar el tiempo de recitación de Microsoft contra los nuevos códigos, sometimos el software a la detección de 200 archivos infectados que aparecieron en grupos de noticias y sitios «subterráneos» en las últimas 24 horas. MSE logra reconocer el 100% de estas amenazas. Por supuesto, estos archivos no contenían 200 virus diferentes, sino unas veinte variantes de los mismos virus. Pero estos archivos llevaban 200 firmas diferentes.

Las pruebas sobre una base viral son menos sorprendentes. MSE ha detectado todos los virus y troyanos relativamente recientes y las amenazas anteriormente más extendidas. Por otro lado, se perdió un centenar de virus muy antiguos que, por cierto, no funcionan en Vista y Windows 7.

Aunque reconoció a los diez Keyloggers «clandestinos», no detectó ninguno de los Keyloggers «comerciales», los que están oficialmente a la venta bajo el pretexto del control parental, por ejemplo. Lo mismo ocurre con el spyware/adware/spyware, en el que MSE permitió que pasara el 60% de los códigos (y en particular el software comercial de vigilancia de PC). Sin embargo, no intentamos ejecutarlas para comprobar si MSE las detectó en ese momento, pero como veremos más adelante, a veces MSE sólo reacciona a la ejecución de códigos (lo que se explicaría en particular por una gestión mal desarrollada de los códigos compactados).

MSE no reconoció los archivos PDF infectados

En el lado del rootkit, el software ha detectado todas nuestras muestras. Sin embargo, ha demostrado ser demasiado blando en la lucha contra su ejecución. Al menos en XP, la combinación de Windows 7/MSE ha impedido correctamente su instalación. También debe tenerse en cuenta que MSE no reconoció los archivos PDF infectados que le enviamos (sin embargo, el fallo que los hace peligrosos hace tiempo que ha sido corregido por Adobe).

Leave a reply


Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *