Síntomas
Algunos códigos maliciosos utilizan el cambio de extensión de un fichero para ocultar su verdadera extensión consiguiendo así que el usuario lo abra sin darse cuenta (la extensión que el usuario ve no es la real) y conseguir su fin.
Descripción
El filtro Contentfilter es el encargado en este caso de evitar este tipo de acciones.
Para que la protección de ContentFilter pueda catalogar un adjunto como peligroso por doble extensión se tienen que cumplir estos dos requisitos:
- La primera de las extensiones debe estar incluida en la lista de las extensiones analizables por el residente. Si esta extensión no está en el listado de las extensiones analizables por defecto, deberá incluirse.
Para ello,- Desde la consola de administración AdminSecure, en la configuración de Estaciones Windows, seleccione Antivirus -> Archivos.
- En la pestaña Qué analizar, seleccione Archivos a analizar... y seleccione el botón Extensiones....
- Compruebe que la extensión que desea excluir está incluida en el listado. Si no es así, introdúzca el nombre de la extensión en el cuadro de texto Nueva extensión y pulse Aceptar.
Nota: En un archivo tipo sample.ext1.ext2, se entiende como primera extensión ext1.
- La primera extensión debe estar registrada en el sistema. Esto se puede comprobar en la clave de registro HKEY_CLASSES_ROOT (editor de Registro de Windows)
Para ello,- Acceda al editor del registro de Windows.
- En la clave HKEY_CLASSES_ROOT, compruebe que existe la clave correspondiente a la extensión desea. Por ejemplo [HKEY_CLASSES_ROOT\.ext1]
- Si no existe, simplemente abra el archivo .ext1 con el programa con el que desee abrirlo habitualmente. De este modo, el sistema registrará la extensión automáticamente.
Una vez cumplidos estos dos requisitos, la protección de ContentFilter de Panda for Desktops filtrará archivos del tipo sample.ext1.ext2.
