Sophos Anti-Virus para Windows 2000+: decidir el bloqueo de ciertos archivos

Cuando Sophos Anti-Virus encuentra un archivo o programa malicioso, sólo puede indicar que tanto el archivo como el comportamiento sean amenazas. Será responsabilidad suya verificar el archivo y autorizarlo/bloquearlo en consecuencia. En algunos casos, pueden resultar ser archivos limpios y legítimos pero, otras veces, pueden ser programas maliciosos no identificados. En este artículo, se ofrece un proceso para la toma de decisiones sobre qué hacer frente a una alerta.

1. ¿Qué tarea se estaba realizando en el momento de la alerta y a qué elementos hace referencia?

   Si estaba instalando o actualizando software y la alerta está relacionada con dicha operación, puede tratarse de una detección no deseada provocada por el proceso de instalación o actualización.

   Entre los programas legítimos se pueden incluir los programas de instalación o de actualización programada, otras herramientas de actualización y otras herramientas que modifican el registro, procesos, o archivos de programa y datos.

   Para evitarlo, es aconsejable configurar el modo de "sólo alertas" de HIPS durante las instalaciones o actualizaciones de software. Si tiene programas que se actualizan con frecuencia, añádalos a la lista de programas autorizados. Consulte Sophos Anti-Virus para Windows 2000+: autorizar elementos sospechosos para más información.

2. ¿Los archivos detectados son nuevos en el equipo o red?

   ¿Son antiguos? Si no, ¿de dónde procede? Si conoce el historial del archivo, es menos probable que se trate de una amenaza.

3. ¿Qué comportamiento presenta el elemento sospechoso?

   Consulte el sitio web de Sophos para leer una descripción del elemento sospechoso. ¿Es razonable el comportamiento del elemento detectado? Si un archivo que era legítimo empieza a comportarse de manera sospechosa, podría indicar que algún programa malicioso ha infectado el equipo.

4. ¿Cuántas alertas ha visto en relación a ese archivo y con qué frecuencia se producen?

   Si la misma alerta sobre un comportamiento se produce cada uno o dos segundos, es una clara indicación de una posible infección, incluso si creía que los elementos detectados eran legítimos.

5. ¿Cuál es la ruta al elemento detectado?

   ¿Se encuentra el archivo en la carpeta de caché de Internet? De ser así, ¿ha descargado algún archivo últimamente? ¿Lo descargó de un sitio web de confianza? Si el elemento detectado está en la carpeta de la caché de Internet y no tiene conocimiento de haber descargado ningún archivo, es muy probable que se trate de una amenaza.

¿Y ahora?

• Si después de leer esta guía, cree que el elemento es legítimo, autorícelo. Si se detecta una aplicación que considera que se utiliza con frecuencia y cree que el nivel de detección es demasiado estricto, envíe el archivo a SophosLabs y solicite la revisión de la aplicación.
  
• Si cree que el elemento es sospechoso y no está seguro de querer autorizarlo, envíelo a SophosLabs para que lo analicen.

Consulte los artículos de la base de conocimiento Envío de muestras de archivos sospechosos a Sophos y Recogida de muestras bloqueadas por escaneado en acceso para obtener ayuda sobre cómo obtener los archivos y enviarlos a los laboratorios de Sophos.

En algunos casos, Sophos puede ofrecer una actualización de la detección de la aplicación solicitada, si se considera oportuno. Sin embargo, siempre puede autorizar o bloquear aplicaciones según las necesidades de su empresa.