Por ejemplo, durante el proceso de prueba de agentes, es posible que algunos de ellos reconozcan la firma de acceso a correo electrónico. En ciertas circunstancias, un evento activado por esta firma es motivo de alarma. Los piratas informáticos pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25, reservado normalmente para aplicaciones de correo electrónico, y esta acción se detectaría mediante la firma TCP/IP Port 25 Activity (SMTP). Por otra parte, también es posible que el tráfico normal del correo electrónico coincida con esta firma. Cuando utilice esta firma, investigue el proceso que ha iniciado el evento. Si el proceso no está asociado normalmente con el correo electrónico, como Notepad.exe, puede tener sospechas razonables de que se trata de un troyano. Si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico (Eudora, Netscape, Outlook), cree una excepción para este evento.
Por ejemplo, también puede detectar que una serie de agentes activan los programas de inicio de las firmas, lo cual indica que se modifica o se crea un valor en las claves del Registro siguientes:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Dado que los valores almacenados bajo estas claves indican programas que se inician al encender el equipo, el reconocimiento de esta firma puede indicar que alguien está intentando alterar el sistema. O bien, también puede indicar algo tan benigno como que uno de sus empleados esté instalando RealAudio en su equipo. La instalación de RealAudio agrega el valor RealTray a la clave del Registro Run.
Para eliminar la activación de eventos cada vez que alguien instale software autorizado, se crean excepciones para estos eventos. El agente ya no generará eventos para esta instalación autorizada.
Para crear una excepción basada en eventos:
Aparece un cuadro de diálogo Nueva excepción rellenado previamente.
Para crear una aplicación de confianza basada en eventos:
Aparece un cuadro de diálogo Nueva aplicación de confianza rellenado previamente.
Copyright © 2005 McAfee, Inc. Reservados todos los derechos.