Anhang B. Erkennung und Neutralisierung von Computerbedrohungen

Alle Antivirenprodukte von Dr.Web setzen mehrere Methoden zur Erkennung von Bedrohungen ein, wodurch alle verdächtigen Objekte sorgfältig und zuverlässig untersucht werden.

Dieses Verfahren wird als Erstes eingesetzt. Bei dem Verfahren wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von Prüfsummen verglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung ist eindeutig: Bedrohungen werden korrekt erkannt, und infizierte Objekte werden desinfiziert. Virensignaturen in den Dr.Web Virendatenbanken werden so präzise erstellt, dass anhand einer einzigen Signatur mehrere Klassen oder Familien von Bedrohungen erkannt werden können.

Einzigartige Technologie von Dr.Web für die Erkennung neuer oder modifizierter Bedrohungen, die auf bereits bekannten und in den Virendatenbanken beschriebenen Mechanismen oder Verhaltensmustern basieren. Dieses Verfahren wird nach Abschluss der Signaturanalyse durchgeführt und schützt die Nutzer eines Antivirenprodukts von Dr.Web vor Bedrohungen wie dem Erpresser-Trojaner Trojan.Encoder.18 (der auch unter dem Namen gpcode bekannt ist) und anderer Erpressersoftware. Die Technologie Origins Tracing™ ermöglicht auch, die Anzahl von Fehlauslösungen der heuristischen Erkennung wesentlich zu reduzieren. Zu den Namen von Bedrohungen, die mit Origins Tracing™ erkannt werden, wird die Endung .Origin hinzugefügt.

Die Emulation der Ausführung des Programmcodes wird zur Erkennung polymorpher und verschlüsselter Viren eingesetzt, wenn die Suche anhand der Prüfsummen der Signaturen unmöglich oder wegen Mangels an zuverlässigen Signaturen wesentlich komplizierter ist. Das Verfahren basiert auf der virtuellen Ausführung des zu analysierenden Codes durch den Emulator, d. h. ein Simulationsmodell des Prozessors und der Laufzeitumgebung. Der Emulator wird in einer gesicherten Umgebung (Emulationsbuffer) ausgeführt. Dem zentralen Prozessor werden dabei keine Anweisungen übermittelt. Wenn ein durch den Emulator verarbeiteter Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, so dass er mit der signaturbasierten Erkennungsmethode überprüft werden kann.

Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale eines schädlichen und, im Gegenteil, eines harmlosen ausführbaren Codes. Jedes Merkmal hat einen bestimmten Punktwert (eine Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmales zeigt). Der Punktwert kann positiv sein, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn das Merkmal die Sicherheit des Rechners nicht bedroht. Aufgrund der Gesamtbewertung, die den Inhalt des Objektes kennzeichnet, berechnet der heuristische Analysator die Wahrscheinlichkeit der Infizierung des Objekts durch ein unbekanntes Schadprogramm. Wenn diese Wahrscheinlichkeit einen bestimmten Schwellenwert überschreitet, wird das analysierte Objekt als schädlich eingestuft.

Bei der heuristischen Analyse wird auch die Technologie FLY-CODE™ verwendet. Das ist ein universaler Algorithmus zum Entpacken archivierter Dateien. Mit dieser auf heuristischen Vermutungen basierenden Technik kann festgestellt werden, ob die mit Packprogrammen komprimierten Dateien schädliche Objekte enthalten. Es handelt sich dabei nicht nur um Packprogramme, die den Virenabwehr-Spezialisten von Dr.Web bekannt sind, sondern auch um neue Programme, die noch nicht untersucht wurden. Bei jedem Scan eines verpackten Objekts wird auch seine Struktur-Entropie analysiert. Eventuelle Bedrohungen können dabei anhand einiger spezifischer Teile des Codes erkannt werden. Diese Technologie ermöglicht, diverse schädliche Objekte, die mit dem gleichen polymorphen Packer gepackt wurden, anhand nur einer Signatur aufzuspüren.

Da es sich bei der heuristischen Analyse um die Hypothesenprüfung unter Unbestimmtheitsbedingungen handelt, können Fehler sowohl der ersten (Nichterkennen unbekannter Bedrohungen) als auch der zweiten Art (ein sicheres Programm wird als Schadprogramm eingestuft) auftreten. Aus diesem Grund erhalten die bei der heuristischen Analyse als „schädlich“ eingestuften Objekte den Status „verdächtig“.

Bei jedem Suchlauf verwenden alle Antivirenkomponenten der Dr.Web Produkte die aktuellsten Informationen über alle zum aktuellen Zeitpunkt bekannten Schadprogramme. Die Virensignaturen und Informationen über die Merkmale und das Verhalten neuer Bedrohungen werden ständig aktualisiert und unverzüglich in die Virendatenbanken aufgenommen, sobald Spezialisten des Virenlabors von Doctor Web sie entdeckt haben. Manchmal werden neue Erkennungsmuster stündlich zur Verfügung gestellt. Selbst wenn ein bisher unbekanntes Schadprogramm unbemerkt für den residenten Dr.Web Schutz ins System eindringt, wird es in der Prozessliste erkannt und nach der Aktualisierung der Virendatenbanken sofort neutralisiert.

Dr.Web Produkte ermöglichen Ihnen, individuell Aktionen festzulegen, die bei Fund infizierter oder verdächtiger Objekte ausgeführt werden sollen. Der Nutzer kann entweder die Standardaktionen auswählen oder selbst entscheiden, welche Aktion jeweils ausgeführt werden soll. Zur Verfügung stehen folgende Aktionen:

•Ignore (ignorieren, überspringen) – Die Erkennung der Bedrohung wird ignoriert und nicht gemeldet: Es erfolgt keine Aktion.

•Report (benachrichtigen) – De Erkennung der Bedrohung wird zwar gemeldet, doch keine Aktion wird ausgeführt.

•Cure (desinfizieren) – Es wird versucht, das infizierte Objekt zu desinfizieren, indem sein schädlicher Code entfernt wird. Diese Aktion ist nicht für alle Bedrohungen möglich.

•Quarantine (in die Quarantäne verschieben, isolieren) – Das infizierte Objekt wird (sofern möglich) in einem gesicherten Verzeichnis isoliert.

Wenn eine Bedrohung in einem Container (Archiv, E-Mail-Datei u. ä.) erkannt wird, wird der gesamte Container in die Quarantäne verschoben, anstatt gelöscht zu werden.