Detecciones Heurísticas y Proactivas

Definición de los objetos detectados por un analizador heurístico o un módulo de defensa proactiva

Las bases de datos de antivirus de Kaspersky Lab contienen una enorme cantidad de herramientas heurísticas (ningún prefijo es utilizado en los nombres de estas herramientas). Por otra parte, en 2007 la compañía introdujo un módulo heurístico separado que contenía todos los últimos avances tecnológicos. Cuando un objeto es detectado por este módulo, el nombre del objeto comienza con el prefijo “HEUR:”.

El módulo de defensa proactiva es un módulo que controla las secuencias de acciones llevadas a cabo por una aplicación en el sistema. Si se detecta una actividad sospechosa, la aplicación es bloqueada para evitar cualquier posible actividad posterior. Si un objeto es detectado por el PDM, el nombre del objeto comienza con el prefijo “PDM:”.

Ambos módulos analizan la actividad (o secuencia de actividades) de un objeto. Si dicha actividad se ajusta a los patrones típicos de un programa malicioso, entonces el objeto será detectado tanto por el analizador heurístico como por el PDM.

La categoría Malware incluye los siguientes objetos detectados:

HEUR:Worm.[Platform].Generic

Objetos incluidos en esta clasificación ejecutan una búsqueda en los equipos remotos e intentan copiarse a sí mismos para leer/escribir los directorios accesibles, así como para buscar directorios de red usando las funciones del sistema operativo o llevar a cabo una búsqueda aleatoria de computadoras.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Virus.[Platform].Generic

Los objetos incluidos en esta clasificación crean copias de sí mismos en los recursos locales de la computadora víctima.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Email-Worm.[Platform].Generic

Los objetos incluidos en esta clasificación intentan enviar copias de sí mismos en la forma de un archivo adjunto de correo electrónico. También pueden enviarse como un enlace a sus propios archivos ubicados en un recurso de red.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Virus.[Platform].Infector

Los objetos incluidos en esta clasificación buscan archivos y escriben determinada información en éstos. Tales objetos pueden, por ejemplo, escribir su código en un archivo ejecutable o escribir un código HTML que contenga un enlace a archivos .html, .php, .asp, y otras extensiones.

El campo [Plataforma] puede ser “Script” o “Win32”.

PDM:Worm.Win32.Generic

Los objetos incluidos en esta clasificación buscan las redes de los equipos remotos e intentan copiarse a sí mismos para leer / escribir directorios accesibles. También pueden buscar en los directorios de red de acceso usando las funciones del sistema operativo y / o llevar a cabo una búsqueda aleatoria de las computadoras.

PDM:P2P-Worm.Win32.Generic

Los objetos incluidos en esta clasificación se copian en las carpetas asociadas a clientes P2P y modifican las claves del registro asociadas con estos clientes.

HEUR:Trojan.[Platform].Generic

Los objetos incluidos en esta clasificación borran, bloquean, modifican o copian información y alteran el funcionamiento de los equipos o de las redes informáticas.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Trojan.Win32.Invader

Los objetos incluidos en esta clasificación inyectan su código en el espacio de direcciones de otros procesos.
Esta táctica es a menudo utilizada por los creadores de virus con el fin de realizar una serie de acciones similares a las que realizaría una aplicación de confianza.

HEUR:Trojan.[Platform].AntiAV

Los objetos incluidos en esta clasificación evitan que los programas antivirus y los firewalls funcionen.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Trojan.[Platform].KillFiles

Los objetos incluidos en esta clasificación borran los archivos del usuario y / o los archivos del sistema operativo.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Trojan.[Platform].StartPage

Los objetos incluidos en esta clasificación modifican la página de inicio, la página de búsqueda y otros ajustes del navegador de Internet.

El campo [Plataforma] puede ser “Script” o “Win32”.

HEUR:Trojan.Script.Iframer

Los objetos incluidos en esta clasificación acceden a los recursos de Internet sin el consentimiento del usuario utilizando etiquetas

Publicaciones relacionadas