Detalles del proceso

Al hacer clic en un archivo afectado en un caso de amenaza, el panel Detalles del proceso muestra los detalles más recientes del archivo.

Estos incluyen la reputación global del archivo, la ruta de acceso, el nombre, la línea de comandos, el ID de proceso, el usuario en ejecución, el hash SHA256, la hora de inicio y de finalización y la duración. La siguiente captura de pantalla muestra los detalles de un proceso asociado con Internet Explorer 11:

Panel "Detalles del proceso" para iexplore.exe

Solicitar información más reciente

Si el archivo no se ha enviado a Sophos para su análisis adicional, verá el texto No hay información actual sobre este archivo.. Si el archivo no ha sido enviado, o si desea ver si hay información actualizada, haga clic en Solicitar información más reciente. Esta opción envía una solicitud al equipo para cargar el archivo en SophosLabs.

Cuando se ha analizado el archivo, verá la información más reciente sobre la reputación global del archivo y si es necesario investigar.

Panel "Detalles del proceso" que muestra la reputación y la prevalencia

La puntuación de reputación muestra la fiabilidad del archivo. Sophos puntúa la reputación en una escala de rojo (mala) a verde (buena). Los archivos limpios conocidos se muestran en el rango verde de la escala y los archivos maliciosos conocidos en el rojo.

La puntuación de reputación sube o baja por muchas razones, como por ejemplo cuándo y cuántas veces ha visto Sophos el archivo y las propiedades estáticas/de comportamiento del archivo. Cuando el archivo se ve por primera vez, es posible que obtenga una puntuación en el rango naranja (desconocida) porque es un archivo nuevo. Después de que Sophos lo haya analizado, la puntuación puede pasar al rango de reputación buena conocida o mala conocida.

Si tiene Intercept X Advanced with EDR o Intercept X Advanced with EDR for Server, también verá más información y opciones, de la siguiente manera.

Resumen informe

En Resumen informe, puede ver la reputación y la prevalencia del archivo y los resultados de nuestro análisis de Machine Learning, que indican lo sospechoso que es el archivo.

Opción de configuración

Descripción

Prevalencia

Indica la frecuencia con la que SophosLabs ha visto el archivo.

Visto por primera vez

Cuando SophosLabs ha visto por primera vez el archivo en circulación.

Visto por última vez

Cuando SophosLabs ha visto por última vez el archivo en circulación.

Análisis de Machine Learning

Resume lo sospechoso que es el archivo.

Análisis de Machine Learning

En Análisis de Machine Learning, puede ver los resultados completos de nuestro análisis.

Atributos muestra una comparación de los atributos del archivo con los de millones de archivos conocidos como benignos y maliciosos. Esto le permite determinar lo sospechoso que es cada atributo y, por tanto, la probabilidad de que el archivo sea benigno o malicioso. Puede ver los siguientes atributos:

  • Importaciones describe la funcionalidad que utiliza el archivo desde archivos DLL externos.
  • Cadenas describe las cadenas más significativas del archivo.
  • Compiladores especifica lo que se ha utilizado para compilar el código fuente, por ejemplo C++, Delphi, Visual Basic, .NET.
  • Mitigación describe las técnicas que el archivo utiliza para evitar que se explote.
  • Recursos especifica un recurso que parece estar comprimido o cifrado.
  • Resumen a menudo tiene que ver con las fechas de compilación, por ejemplo.
  • Empaquetador a menudo especifica información importante acerca de una sección específica del archivo, por ejemplo, un nombre de sección sospechoso o el hecho de que una sección sea tanto editable como ejecutable.
  • Peid hace referencia a la salida de PEiD, una herramienta de terceros que analiza un archivo PE en busca de varias firmas de malware.
  • Btcaddress muestra cualquier dirección de bitcoin válida que se encuentre en el archivo.
  • Findcrypt muestra cualquier constante criptográfica sospechosa.

Similaridad del código muestra una comparación del archivo con millones de archivos benignos y maliciosos conocidos, y enumera las coincidencias más cercanas. El resto de coincidencias contribuyen al resultado y pueden afectar la clasificación del archivo. Cuantos más archivos maliciosos coincidan y cuanto más se acerque a ellos, más sospechoso será el archivo.

Archivo/ruta muestra una comparación de la ruta del archivo con la de millones de archivos benignos y maliciosos conocidos. Si la ruta del archivo se parece más a la ruta de archivos que se sabe que son maliciosos, es más probable que sea sospechoso. La ruta y el nombre de archivo que se utilizan para la comparación son los suyos (si ha solicitado la información más reciente) o los del último cliente que nos envió un archivo. Ocultamos la información confidencial que aparece en la ruta de otros clientes.

Propiedades del archivo

En Propiedades del archivo, puede ver información clave sobre el propio archivo, por ejemplo, producto, tipo, información de copyright, versión, nombre de la empresa, tamaño y marca de tiempo.

Desglose de archivo

Secciones de archivos PE muestra información sobre cada sección del archivo, por ejemplo, código, datos o recursos. Los nombres de sección pueden indicar empaquetadores, compiladores o funciones específicos, por ejemplo. El malware puede hacerse evidente al incluir cadenas que incluyan palabrotas, jerga popular, etc.

También hay información sobre el tamaño de las secciones, en el disco y en memoria. A veces, una sección es muy pequeña o muy grande, y a veces solo en disco o solo en memoria. Puede verse la entropía de la sección y si es legible, editable o ejecutable. Todo esto le ayuda a determinar si una sección está empaquetada, contiene datos, contiene código o es inusual.

Para obtener más información sobre las secciones de archivo, consulte Tabla de secciones (encabezados de sección).

Importaciones PE muestra qué archivos DLL utiliza el archivo y, si expande cada uno, qué API se importan de ellos. Puede ver los archivos DLL utilizados para la actividad de la red o las API que pueden ayudar a extraer contraseñas. Los nombres de DLL pueden ser muy comunes. También es posible que sean lo suficientemente inusuales como para que una búsqueda en Internet indique que son sospechosas o maliciosas, y por lo tanto que el archivo que importa de ellos también lo es. Para obtener más información acerca de las importaciones PE, consulte Formato de bibliotecas de importación.

También puede ver Exportaciones PE, que muestra el código que el archivo pone a disposición de otros archivos para su uso. Esto puede parecer inofensivo u obviamente malicioso. Para obtener más información sobre las exportaciones PE, consulte La sección .edata (solo imagen).

Buscar

Haga clic en Buscar para buscar más ejemplos del archivo en la red.

También puede realizar búsquedas desde la página Búsquedas de amenazas o desde el panel Búsqueda de amenazas del panel de control.

Limpiar y bloquear

Si el archivo es sospechoso, puede usar Limpiar y bloquear.

Esta opción limpia el archivo (y los archivos y claves asociados) en cualquier dispositivo en el que se encuentre. También lo añade a una lista de bloqueo para que no pueda ejecutarse en otros dispositivos. Puede ver los elementos bloqueados en Configuración global > Elementos bloqueados.