ThreatSense-parametrar

ThreatSense är en teknik som består av många avancerade hotidentifieringsmetoder. ThreatSense är en proaktiv metod vilket innebär att den kan skydda datorn mot tidig spridning av ett nytt hot. Genom att kombinera kodanalys, kodemulering, generiska signaturer, virussignaturer och använda dem tillsammans ökas systemsäkerheten avsevärt.

Genomsökningsmotorn kan kontrollera flera dataströmmar samtidigt vilket maximerar effektiviteten och upptäcktsfrekvensen. ThreatSense-tekniken eliminerar även framgångsrikt rootkits.

Med alternativen för inställning av ThreatSense-motorn går det att ange ett antal olika genomsökningsparametrar:

· Filtyper och tillägg som genomsöks,

· En kombination av olika identifieringsmetoder,

· Rensningsnivåer, osv.

Öppna inställningsfönstret genom att klicka på Parameterinställningar för ThreatSense-motorn i fönstret

Avancerade inställningar för de moduler som använder ThreatSense-teknik (se nedan). Olika säkerhetsscenarier kan kräva olika konfigurationer. Det går därmed att individuellt konfigurera följande skyddsmoduler i ThreatSense:

· Skydd av filsystemet i realtid,

· Genomsökning vid inaktivitet,

ThreatSense-parametrarna är starkt optimerade för varje modul och ändringar av dem kan märkbart påverka systemets funktion. Att till exempel ändra parametrarna så att internt packade filer alltid söks igenom eller att aktivera avancerad heuristik i modulen för skydd av filsystemet i realtid kan resultera i att systemet blir

långsammare (normalt används dessa metoder endast för genomsökning av nyskapade filer). Vi rekommenderar att lämna ThreatSense standardparametrar oförändrade för alla moduler utom för genomsökningsmodulen.

Objekt som ska genomsökas

I det här avsnittet går det att definiera vilka komponenter och filer på datorn som genomsöks efter infiltrationer.

Arbetsminne – söker efter hot som angriper systemets arbetsminne.

Startsektorer/UEFI – genomsöker startsektorer och UEFI efter rootkit, bootkit och annan skadlig kod. Klicka här för mer information.

E-postfiler – programmet stöder följande filnamnstillägg: DBX (Outlook Express) och EML.

Arkiv – programmet stöder följande filnamnstillägg: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE samt många fler.

Självuppackande arkiv – självuppackande arkiv (SFX) är arkiv som inte behöver några särskilda program – arkiv – för att dekomprimeras.

Internt packade filer – när internt packade filer (till skillnad från standardarkivtyper) körs dekomprimeras de i minnet. Förutom statiska arkiverare av standardtyp (UPX, yoda, ASPack, FSG osv.) känner skannern igen många fler typer av arkiverare genom kodemulering.

Genomsökningsalternativ

Välj vilka metoder som ska användas för att söka efter infiltrationer i systemet. Följande alternativ finns tillgängliga:

Heuristik – heuristik är en algoritm som analyserar (skadliga) aktiviteter i program. Huvudfördelen med tekniken är möjligheten att identifiera skadlig programvara som inte fanns eller som inte var känd av den tidigare

detekteringsmotorn. Nackdelen är (en mycket liten) risk för falska larm.

Avancerad heuristik/DNA/Smarta signaturer – avancerad heuristik består av en unik heuristikalgoritm som utvecklats av ESET och som optimerats för att upptäcka datormaskar och trojanska hästar som skrivits på programmeringsspråk på hög nivå. Genom att använda avancerad heuristik blir ESET-produkterna bättre på att detektera hot. Signaturer används för att pålitligt detektera och identifiera virus. Med det automatiska

uppdateringssystemet är nya signaturer tillgängliga inom några timmar efter att ett hot identifierades. Nackdelen med signaturer är att de bara detekterar virus de känner till (eller lätt ändrade versioner av dessa virus).

Ett potentiellt oönskat program är ett program som innehåller reklamprogram, installerar verktygsfält eller har andra oklara mål. Det finns vissa situationer där en användare kan anse att fördelarna med ett potentiellt oönskat program väger tyngre än riskerna. Därför tilldelar ESET sådana program en lägre riskkategori jämfört med andra typer av skadliga program, som trojaner eller maskar.

Varning – potentiellt hot hittades

När ett potentiellt oönskat program upptäcks får du välja vilken åtgärd som ska vidtas:

58

1. Rensa/Koppla från: Med det här alternativet avslutas åtgärden och det potentiella hotet hindras från att ta sig in i systemet.

2. Ingen åtgärd: Detta alternativ tillåter att ett potentiellt hot kommer in i ditt system.

3. Om du vill tillåta att programmet körs obehindrat på datorn i fortsättningen klickar du på Mer info/Visa avancerade alternativ och markerar sedan kryssrutan intill Undanta från detektering.

När ett potentiellt oönskat program upptäcks och inte kan rensas visas meddelandefönstret Adressen har blockerats i skärmens nedre högra hörn. För mer information om den här händelsen går du till Verktyg > Loggfiler > Filtrerade webbplatser från huvudmenyn.

Potentiellt oönskade program – inställningar

När ESET-produkten installeras kan du välja om du vill aktivera detektering av potentiellt oönskade program enligt nedan:

VARNING!

Potentiellt oönskade program kan installera reklamprogram, verktygsfält eller andra oönskade och osäkra programfunktioner.

Dessa inställningar kan ändras i programinställningarna när som helst. Om du vill aktivera eller inaktivera detekteringen av potentiellt oönskade, osäkra eller misstänkta program följer du dessa anvisningar:

1. Öppna ESET-produkten. Hur öppnar jag min ESET-produkt?

2. Tryck på F5 för att komma åt Avancerade inställningar.

3. Klicka på Antivirus och aktivera eller inaktivera alternativen Aktivera detektering av potentiellt oönskade program, Aktivera detektering av potentiellt osäkra program och Aktivera detektering av misstänkta program enligt dina preferenser. Bekräfta genom att klicka på OK.

Potentiellt oönskade program – software wrappers

En software wrapper är en särskilt typ av programmodifiering som används av vissa fildelningsplatser. Det är ett verktyg från tredje part som installerar programmet du avsåg att hämta, men även ytterligare programvara som verktygsfält eller reklamprogram. Den ytterligare programvaran kan även ändra webbläsarens startsida och sökinställningar. Dessutom meddelar fildelningsplatser ofta inte programleverantören eller den som hämtar programmet om att modifieringar gjorts och gör det svårt att välja bort modifieringen. Därför klassificerar ESET software wrappers som en typ av potentiellt oönskat program, så att användare kan välja om hämtningen ska godkännas eller inte.

Läs följande artikel i ESET kunskapsbas för en uppdaterad version av denna hjälpsida.

För mer information, klicka här.

Potentiellt farliga program – potentiellt farliga program är den klassificering som används för kommersiella, legitima program, som exempelvis verktyg för fjärråtkomst, program som spårar lösenord och keylogger-program (program som registrerar varje tangent användaren trycker ned). Det här alternativet är inaktivt som standard.

Rensning

Inställningarna för rensning anger hur skannern fungerar under rensning av infekterade filer. Det finns tre rensningsnivåer:

Ingen rensning – infekterade filer rensas inte automatiskt. Ett varningsfönster visas där användaren kan välja en

60

åtgärd. Denna nivå är avsedd för mer avancerade användare som vet vilka åtgärder att vidta i händelse av infiltration.

Vanlig rensning – programmet försöker automatiskt rensa eller ta bort en infekterad fil baserat på en fördefinierad åtgärd (beroende på infiltrationstyp). När en infekterad fil identifieras och tas bort anges det i ett meddelande längst ned till höger på skärmen. Om det inte är möjligt att välja rätt åtgärd automatiskt ger programmet flera olika uppföljningsåtgärder. Samma sak händer om det inte går att utföra en fördefinierad åtgärd.

Strikt rensning – programmet rensar eller tar bort alla infekterade filer. Det enda undantaget är systemfiler. Om det inte är möjligt att rensa dem ombeds användaren att välja ett alternativ i ett varningsfönster.

VARNING!

Om ett arkiv innehåller en eller flera filer som är infekterade finns det två sätt att hantera arkivet. I standardläget (Standardrensning) tas hela arkivet bort om alla filer i arkivet är infekterade. I läget Strikt rensning tas arkivet bort om det innehåller minst en infekterad fil, oavsett status för andra filer i arkivet.

Undantag

En filändelse är den del av filnamnet som kommer efter punkten. Ett filändelse definierar filens typ och innehåll. I avsnittet för ThreatSense-parameterinställningar går det att definiera vilken typ av filer som ska genomsökas.

Annat

Vid konfigurering av parameterinställningarna för ThreatSense-motorn för genomsökning av datorn på begäran är följande alternativ i avsnittet Annat också tillgängliga:

Genomsök alternativa dataströmmar (ADS) – de alternativa dataströmmarna som används av filsystemet NTFS består av fil- och mappassociationer som inte är synliga för vanliga genomsökningsmetoder. Många

infiltrationsförsök maskerar sig som alternativa dataströmmar för att undvika upptäckt.

Kör genomsökningar i bakgrunden med låg prioritet – varje genomsökningssekvens kräver en viss mängd

systemresurser. Om du arbetar med program som kräver mycket systemresurser kan du aktivera genomsökning i bakgrunden med låg prioritet och spara resurser till dina program.

Logga alla objekt – om detta alternativ är markerat visar loggfilen alla genomsökta filer, även sådana som inte är infekterade. Om en infiltration till exempel hittas i ett arkiv, visar loggen även rena filer i arkivet.

Aktivera Smart optimering – med aktiverad smart optimering används de optimala inställningarna för effektivast genomsökning och bibehåller samtidigt den högsta genomsökningshastigheten. De olika skyddsmodulerna genomsöker intelligent och använder olika genomsökningsmetoder och tillämpar dem på vissa filtyper. Om smart optimering är inaktiverad tillämpas endast de användardefinierade inställningarna i ThreatSense-kärnan när en genomsökning utförs.

Bevara tidsstämpeln för senaste åtkomst – markera det här alternativet om du vill behålla den ursprungliga åtkomsttiden för genomsökta filer i stället för att uppdatera dem (t.ex. för användning med system för säkerhetskopiering av data).

Begränsningar

Under Begränsningar kan du ange en maximal storlek på objekt och nivåer på de nästlade arkiv som ska genomsökas:

Objektinställningar

Maximal objektstorlek – anger maximal storlek på objekt som ska genomsökas. Den angivna antivirusmodulen kommer endast att genomsöka objekt som är mindre än den angivna storleken. Alternativet ska endast ändras av avancerade användare som kan ha särskilda anledningar till att undanta större objekt från genomsökning.

Standardvärde: obegränsat

Maximal tid för genomsökning av objekt (sek.) – definierar maximal tid som tilldelas för genomsökning av ett objekt. Om användaren har angett ett värde här kommer antivirusmodulen att sluta genomsöka ett objekt när den angivna tiden förflutit, oavsett om genomsökningen avslutats eller inte. Standardvärde: obegränsat

Inställningar för genomsökning av arkiv

Antal nästlade arkiv – anger maximalt djup vid arkivgenomsökningen. Standardvärde: 10.

Maximal filstorlek i arkivet – ange maximal filstorlek för filer i arkiven (efter att de extraherats) som genomsöks.

Standardvärde: obegränsat OBS!

Vi rekommenderar inte att ändra standardvärdena, eftersom det i regel inte finns någon anledning att ändra dem.

3.9.1.13.1 Undantag

En filändelse är den del av filnamnet som kommer efter punkten. Ett tillägg definierar filens typ och innehåll. I avsnittet ThreatSense parameterinställningar går det att definiera vilken typ av filer som ska genomsökas.

Som standard genomsöks alla filer. Det går att lägga till vilket tillägg som helst i listan över filer som undantas för genomsökning.

Det är ibland nödvändigt att undanta vissa filtyper från genomsökning om detta förhindrar att programmet som använder vissa filnamnstillägg fungerar normalt. Det kan till exempel vara lämpligt att undanta filer med tilläggen .edb, .eml och .tmp när MS Exchange server används.

Med hjälp av knapparna Lägg till och Ta bort kan du tillåta eller förhindra genomsökning av filer med specifika filändelser. Om du vill lägga till en ny filändelse i listan klickar du på Lägg till, skriver filändelsen i det tomma fältet och klickar på OK. När du väljer Ange flera värden kan du lägga till flera filändelser avgränsade med rader,

kommatecken eller semikolon. När flerval aktiveras visas filändelserna i listan. Välj en filändelse i listan och klicka sedan på Ta bort om du vill ta bort den från listan. Om du vill redigera en vald filändelse klickar du på Redigera.

Specialtecknen ? (frågetecken) går att använda. På menyn frågetecknet motsvarar alla tecken.

OBS!

Om du vill visa ändelsen (filtypen) för alla filer i ett Windows-operativsystem avmarkerar du Dölj filnamnstillägg för kända filtyper under Kontrollpanelen > Mappalternativ > Visning.

62