Durante años se han desarrollado diferentes técnicas para detectar malware en un ordenador, y una de las más importantes es analizar el comportamiento de sus componentes ejecutables. Se supone que todo antivirus tiene los recursos necesarios para atrapar a cualquier variante de malware con las manos en la masa, pero nunca está de más estudiar otras opciones, como es el caso de Raptor, un nuevo módulo residente desarrollado por McAfee.
Si un programa intenta elevar sus privilegios para modificar archivos del sistema, añade reglas específicas en el firewall sin notificar al usuario, altera el contenido de archivos como el famoso HOSTS y trata de desactivar advertencias de seguridad, definitivamente tiene un objetivo malicioso en mente. Apenas una de estas acciones debería ser suficiente para que cualquier antimalware que se considera como tal intervenga de inmediato. Sin embargo, la relación entre malware y antimalware es toda una carrera armamentista. Una leve modificación en su código puede ocultar parte de ese comportamiento destructivo, y cuando el antimalware reacciona, ya es demasiado tarde.
Así es como llegamos a Raptor, un nuevo módulo de seguridad desarrollado por McAfee. Entiendo que la relación entre los productos de McAfee y sus usuarios se ha deteriorado mucho en estos últimos tiempos, pero Raptor matiene una distancia razonable frente a sus hermanos mayores. Básicamente, se trata de un programa destinado a detectar e interceptar en tiempo real cualquier movimiento extraño por parte de un ejecutable. El proceso de instalación no publica ningún mensaje, y una vez terminado, el icono de Raptor aparecerá en la bandeja de sistema. El programa prácticamente no tiene interfaz, y no hay opciones avanzadas de configuración. Si aparece algo que no debería estar allí, Raptor presentará una ventana con los archivos sospechosos, y la opción de enviarlos a la cuarentena.
Raptor está disponible en 32 y 64 bits como producto separado, y como parte del programa Stinger, que detecta y elimina virus específicos. La única advertencia es que Raptor se encuentra en fase beta, y puede causar conflictos con otras soluciones de seguridad preinstaladas. Al mismo tiempo, hay que vigilar cualquier posibilidad de falsos positivos, en especial si se trata de archivos legítimos.
3 Comments
Leave a Reply