ThreatFire: una protección inteligente

14 11 2007

Hola a todos

Esta vez les escribo para recomendarles un excelente salvaguarda, se trata de ThreatFire, anteriormente llamado Novatix CyberHawk y comprado a la empresa por PC Tools (creadora del famoso Spyware Doctor). Se trata de un complemento gratuito de antivirus (en etapa BETA) que no se basa en detección, es decir que no analiza archivos (aunque la versión de pago tiene un escaner de rootkits), si no que monitorea los procesos del sistema en busca de acciones maliciosas y sospechosas, que puedan llegar a ser las de un malware en ejecución. Esto tiene varias ventajas:

  • Puede detectar virus no reportados, al igual que una heurística
  • Protege el sistema contra crackers e intrusiones al sistema
  • Protege contra backdoors y troyanos de ataque específico (como troyanos para pharming)
  • Protege el sistema contra vulnerabilidades, incluídas 0-day (vulnerabilidades sin parches ni solución)

El programa cuenta con reglas internas que nos alerta cuando algún proceso intenta realizar una acción posiblemente maliciosa, por ejemplo, aquí he utilizado la opción de restauración del archivo hosts que tiene el RegUnlocker, y la ventana de aviso del ThreatFire:

ThreatFire Imagen 1

Si bien en este caso el RegUnlocker no es una aplicación maliciosa, muchos malwares añaden líneas al archivo hosts con el objetivo de redireccionar direcciones IP o dominios, hacia otras falsas o páginas locales creadas por la misma infección, por lo cuál la alerta es totalmente coherente.

Y aquí tienen otro ejemplo, que es una imagen protegiendo el sistema de una vulnerabilidad de Internet Explorer:

ThreatFire Imagen 2

Como verán el programa es muy efectivo, y algunas reglas internas son muy similares a las que usan los antispywares residentes y los firewalls, por lo que puede ser un poco confuso para usuarios inexpertos, ya que es posible que el programa nos alerte sobre programas legítimos, y usuarios sin experiencia o poco conocimiento sobre el tema podrían confundirlos con infecciones.

Además de las reglas internas, el programa cuenta con la posibilidad de configurarle reglas personalizadas, lo cuál es una opción realmente útil, y nos permite por ejemplo monitorear el acceso a un archivos, que puede llegar a ser una base de datos, un archivo de contraseñas o simplemente con información importante, lo cual es muy útil para protegernos de intrusiones.

Es más, como cortesía de esta página, aquí les dejo las reglas personalizadas de mi máquina, de modo que pueda reemplazar a residentes como TeaTimer, Arovax Shield, SUPERAntiSpyware Pro o similares, y otras reglas de protección muy útiles:

ThreatFire Imagen 3

Descarga:

Para instalarlo, simplemente descomprimen el archivo en la carpeta “Documents and Settings\All Users\Datos de programa\PC Tools\ThreatFire”, y remplazan el archivo General.dat. Las reglas están en inglés (idioma universal), al igual que el programa.

Agradezco cualquier tipo de crítica, sugerencia o comentario.

Salu2

Anuncios