Tecnología exclusiva contra código malicioso

Las nuevas tecnologías presentes en Outpost Security Suite Pro, ahorran su tiempo analizando el sistema más rápidamente

Extracto

Este documento detalla las nuevas tecnologías presentes en Outpost Security Suite Pro, que ayudan al usuario a combatir efectivamente los programas maliciosos, sin disminuir el rendimiento del sistema.

Introducción

Outpost Security Suite Pro incluye un módulo contra programas maliciosos que, a diferencia de las aplicaciones contra programas espía o antivirus tradicionales, protege contra múltiples tipos de amenazas: virus, programas espía, troyanos, rootkits y más.
Esta funcionalidad, ha sido optimizada para analizar el sistema con mayor rapidez, sin afectar su actividad normal.

Dos motores, un único analizador integral

El módulo contra códigos maliciosos de Outpost Security Suite Pro, extiende la capacidad de la tecnología contra troyanos y programas espía de Outpost Firewall Pro, incorporando un motor antivirus dedicado.
La combinación lograda, proporciona dos mecanismos distintos de defensa contra el código malicioso, actualizados por dos equipos de investigación expertos, que trabajan juntos para ofrecer una protección sólida y consistente contra las amenazas actuales.

El motor antivirus, licenciado por la empresa Virus Buster de Hungría, ha ganado muchos premios y está certificado por West Coast Labs, ICSA Labs y Virus Bulletin.

Más información: VirusBuster.

Cuando el analizador verifica el sistema en busca de programas maliciosos, utiliza ambos motores simultáneamente, para localizar y eliminar las amenazas.
Las nuevas definiciones de códigos maliciosos se consolidan y distribuyen a diario, para asegurar una protección continua y actualizada.

Mejoras en el rendimiento del análisis

La mayoría de los productos de seguridad ofrecen protección contra virus y otros programas maliciosos, verificando el sistema en busca de código viral.
Básicamente, esto implica detenerse en cada objeto analizado, y compararlo contra un conjunto de firmas de código malicioso conocidas, determinadas en base a amenazas anteriores.

Comparar un archivo contra una gran base de datos de definiciones de código malicioso consume tiempo y recursos del sistema.
Si, además, el ordenador que está siendo analizado contiene una cifra importante de archivos (como muchos de los enormes discos duros actuales), la tarea de verificar todo su contenido podría dilatarse demasiado.   

Sin embargo, para la mayoría de los usuarios, solo un número relativamente pequeño de los archivos de su ordenador se modifica con una frecuencia diaria.
Por lo tanto, el típico análisis de cada día examina innecesariamente objetos ya verificados. Outpost Security Suite Pro apela a la nueva tecnología SmartScan para realizar un enfoque más inteligente, y analizar solamente los objetos que han variado de algún modo desde la última verificación.
De esta manera, los análisis son más rápidos, y consumen muchísimos menos recursos del sistema.

Cómo trabaja SmartScan

SmartScan puede reducir sustancialmente la cantidad de tiempo necesaria para analizar un sistema, que ya ha sido verificado al menos una vez por el módulo contra programas maliciosos de Outpost.
Esta optimización se logra gracias al uso de archivos que guardan información sobre el estado del último análisis efectuado sobre cada objeto.
Si un elemento no ha cambiado desde entonces, se excluye de la lista de verificaciones subsiguientes.
El analizador residente en memoria también utiliza la tecnología SmartScan: si una aplicación nueva se carga en la memoria, solo se verifica si esta no ha sido previamente validada, o si se ha modificado desde la última ejecución.
Esto, además de aumentar la velocidad del análisis en tiempo real y agilizar la respuesta del sistema, también acelera los tiempos de inicio.

Implementación técnica

Durante el análisis inicial, Outpost Security Suite Pro crea dos archivos índice auxiliares en cada carpeta: OP_CACHE.ATR y OP_CACHE.IDX.
Estos archivos permanecen ocultos y no aparecen al listar el contenido del directorio, para evitar que sean modificados. También están protegidos por la función de autodefensa de Outpost, que asegura sus componentes no pueden ser accedidos, modificados o desactivados por programas no autorizados.

Con el fin de mantener un historial de los resultados de análisis pasados, Outpost actualiza el registro interno de aquellos archivos índice que contienen qué documentos de una carpeta han sido verificados con anterioridad y cuándo, la fecha de la última modificación de los archivos, y otra información de mantenimiento adicional.
El analizador lee el contenido de estos archivos, referido al estado de verificaciones anteriores de todos los elementos pertenecientes a cualquier carpeta especificada.

Cualquier objeto que haya sido previamente analizado, permanecerá excluido de verificaciones posteriores, en tanto su contenido no varíe, o no se actualicen las firmas de código malicioso.
Cuando ocurre alguna de estas situaciones, los archivos índice se borran, y los objetos pierden su condición de archivos “limpios”. Esto dispara una orden de verificación obligatoria en el próximo análisis.

A diferencia de otros productos contra códigos maliciosos, que utilizan tecnologías superficialmente similares a la descripta, SmartScan es compatible con todos los sistemas de archivos de los ordenadores, no solo con NTFS (New Technology File System,  Sistema de archivos nativo de Windows NT).

Los beneficios obtenidos en el rendimiento del sistema gracias a la tecnología SmartScan, se resumen en forma de cuadro al final de este documento.

Cómo activar SmartScan

El uso de la tecnología SmartScan puede ser activado con el asistente de configuración, después de instalar Outpost Security Suite Pro.
En instancias posteriores, se puede acceder a las propiedades de SmartScan, ejecutando los siguientes pasos:

1. En la ventana principal de Outpost, pulse en el menú Opciones y seleccione Configurar complementos.

2. Seleccione Programas maliciosos y pulse en el botón Propiedades.

3. En la pestaña Avanzado marque la opción Activar la tecnología SmartScan.

Presionando el botón Limpiar caché, se pueden eliminar los archivos índice almacenados.

Aclaración con respecto a las herramientas contra rootkits:

Los archivos índice almacenados, tienen atributos de solo lectura, y podrían no ser visibles con el uso de administradores de archivos convencionales, como el Explorador de Windows.
Algunas aplicaciones de seguridad contra rootkits, tal vez muestren estos archivos como sospechosos, porque el método de esconder contenido para prevenir un posible abuso de parte de códigos maliciosos, podría ser interpretado como una característica de los rootkits.
Desafortunadamente, como las aplicaciones contra rootkits trabajan de diferentes maneras, no es posible para los desarrolladores de Outpost “marcar” los archivos en cuestión como inocuos, pero los usuarios pueden tener la certeza de que estos son absolutamente seguros.

Optimización del motor de análisis residente

Si se abre un archivo contaminado por código malicioso, el riesgo de que la infección se active y disemine por el sistema es enorme.
Afortunadamente, este peligro no existe si simplemente copiamos, modificamos el nombre o consultamos las propiedades del archivo infectado: la carga dañina solo se activará si lo ejecutamos.

Outpost Security Suite Pro ofrece al usuario la posibilidad de elegir cómo prefiere que el complemento contra programas maliciosos verifique la actividad de las aplicaciones en tiempo real: cuando intenta acceder a los archivos, o al ejecutarlos. Esta última opción, evidentemente optimizará el rendimiento del sistema.

1. Comprobar archivos al ejecutar

Previene que los programas maliciosos se ejecuten, y analiza los archivos solo cuando estos son abiertos. Otros comandos de acceso tales como copiar, ver propiedades,  o mostrar el contenido de una carpeta no se ven afectados por esta configuración.

2. Comprobar archivos después de cada intento
   de acceso

Este modo disparará el análisis contra programas maliciosos después de cualquier intento de acceso al archivo.

Beneficios

Este enfoque asegura una protección a medida para cada usuario. Algunas personas solo se sienten seguras si verifican cada puerta y ventana de su casa todos los días.
Para este tipo de usuarios, el análisis al intentar acceder al archivo, tiene sentido para su máxima tranquilidad.
Otros, se conforman con verificar únicamente cuando hay un peligro de riesgo real. Para ellos, analizar los archivos al ejecutarlos, es la mejor elección.

Implementación técnica

En el modo de comprobar al ejecutar, Outpost Security Suite Pro intercepta la carga de los módulos responsables de la ejecución del código.
Este, es meticulosamente analizado por el complemento contra programas maliciosos, antes de que pueda tomar el control.
Este modo verifica tanto archivos de programa ejecutables, como documentos (por ejemplo Word, o Excel), que tengan el riesgo potencial de contener comandos de macro y otras porciones de código ejecutable oculto.
Sin embargo, no analiza los archivos en busca de virus durante operaciones como copiar o guardar.

En el modo de comprobación en cada intento de acceso, se intercepta todo tipo de acción que se realice con el archivo.
Esto asegura que el acceso a archivos que no están normalmente diseñados para contener código ejecutable, pero que podrían haber sido comprometidos a causa de una vulnerabilidad, también son monitorizados y protegidos.

Cómo seleccionar el modo apropiado

A continuación detallamos los pasos para configurar el nivel de protección deseado:

1. En la ventana principal de Outpost, pulse en el menú Opciones y seleccione Configurar complementos.

2. Seleccione Programas maliciosos y pulse en el botón Propiedades.

3. En la pestaña General, marcar la casilla Activar protección en tiempo real.

4. Seleccionar la opción con el modo de operación deseado, pulsando sobre el botón correspondiente.

Resumen

Outpost Security Suite Pro, gracias a su nueva combinación del módulo de protección contra programas maliciosos con la tecnología SmartScan, está permanentemente en guardia contra todos los riesgos posibles, analizando rápidamente y con precisión, reduce la carga en los recursos del sistema, y se activa solo cuando es necesario, y es muy fácil de usar.

Cuadro de rendimiento