Techniken zur Erkennung von Bedrohungen

Alle Antivirenprodukte von Doctor Web setzen mehrere Methoden zur Erkennung von Bedrohungen ein, wodurch alle verdächtigen Objekte sorgfältig und zuverlässig untersucht werden.

Signaturbasierte Erkennung

Dieses Verfahren wird als Erstes eingesetzt. Bei dem Verfahren wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von deren Prüfsummen verglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung dabei ist eindeutig: Bedrohungen werden korrekt erkannt und infizierte Objekte werden desinfiziert. Virensignaturen in Virendatenbanken von Dr.Web werden so präzise erstellt, dass anhand einer einzigen Signatur mehrere Klassen oder Familien von Bedrohungen erkannt werden können.

Origins Tracing

Einzigartige Technologie von Dr.Web für die Erkennung neuer oder modifizierter Bedrohungen, die auf bereits bekannten und in den Virendatenbanken beschriebenen Mechanismen oder Verhaltensmustern basieren. Dieses Verfahren wird nach Abschluss der Signaturanalyse durchgeführt und schützt Nutzer eines Antivirenprodukts von Dr.Web vor Bedrohungen wie dem Erpresser-Trojaner Trojan.Encoder.18 (der auch unter dem Namen „gpcode“ bekannt ist) und anderer Erpressersoftware. Die Technologie Origins Tracing ermöglicht auch, die Anzahl von Fehlauslösungen bei der heuristischen Analyse wesentlich zu reduzieren. Dem Namen von Bedrohungen, die mit Origins Tracing erkannt werden, wird die Endung .Origin hinzugefügt.

Emulation

Die Emulation der Ausführung des Programmcodes wird zur Erkennung polymorpher und verschlüsselter Viren eingesetzt, wenn die Suche anhand der Prüfsummen der Signaturen unmöglich oder wegen Mangels an zuverlässigen Signaturen wesentlich komplizierter ist. Das Verfahren basiert auf der virtuellen Ausführung des zu analysierenden Codes durch den Emulator, d. h. ein Simulationsmodell des Prozessors und der Laufzeitumgebung. Der Emulator wird in einer gesicherten Umgebung (Emulationsbuffer) ausgeführt. Dem zentralen Prozessor werden dabei keine Anweisungen übermittelt. Wenn ein durch den Emulator verarbeiteter Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, so dass er mit der signaturbasierten Erkennungsmethode überprüft werden kann.

Heuristische Analyse

Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale eines schädlichen und eines zuverlässigen ausführbaren Codes. Jedes Merkmal hat einen bestimmten Punktwert (die Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmales zeigt). Der Punktwert kann positiv sein, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn seine Eigenschaft nicht schädlich ist. Aufgrund des Gesamtwertes, der den Inhalt des Objekts kennzeichnet, wird mittels der heuristischen Analyse die Wahrscheinlichkeit des Vorhandenseins eines unbekannten schädlichen Objekts ermittelt. Wenn diese Wahrscheinlichkeit einen bestimmten Grenzwert übersteigt, wird davon ausgegangen, dass das analysierte Objekt schädlich ist.

Bei der heuristischen Analyse wird auch die Technologie FLY-CODE verwendet. Das ist ein universaler Algorithmus zum Entpacken archivierter Dateien. Mit dieser auf heuristischen Vermutungen basierenden Technik kann festgestellt werden, ob die mit Packprogrammen komprimierten Dateien schädliche Objekte enthalten. Es handelt sich dabei nicht nur um Packprogramme, die den Software-Entwicklern von Doctor Web bekannt sind, sondern auch um neue Programme, die noch nicht untersucht wurden. Bei jedem Scan eines verpackten Objekts wird auch seine Struktur-Entropie analysiert. Eventuelle Bedrohungen können dabei anhand einiger spezifischer Teile des Codes erkannt werden. Diese Technologie ermöglicht, diverse schädliche Objekte, die mit dem gleichen polymorphen Packer gepackt wurden, anhand nur einer Signatur aufzuspüren.

Da es sich bei der heuristischen Analyse um eine Hypothesenprüfung unter Unbestimmtheitsbedingungen handelt, können Fehler sowohl der ersten (Nichterkennen unbekannter Bedrohungen) als auch der zweiten Art (ein sicheres Programm wird als Schadprogramm eingestuft) auftreten. Aus diesem Grund haben alle heuristisch als „schädlich“ erkannten Objekte den Status „verdächtig“.

Verhaltensanalyse

Mit den Methoden der Verhaltensanalyse lassen sich Aktivitäten aller Prozesse im System analysieren. Wenn bei einem Programm eine verdächtige Anomalie erkannt wird, wird das Programm vom System isoliert, sodass seine Aktivitäten keinen Schaden anrichten können.

Dr.Web Process Heuristic

Die verhaltensbasierende Technologie Dr.Web Process Heuristic schützt Ihren Rechner vor neuen und den gefährlichsten Schadprogrammen, die durch herkömmliche signaturbasierte Methoden und die heuristische Analyse nicht immer aufgespürt werden können.

Dr.Web Process Heuristic analysiert das Verhalten jedes ausgeführten Programms. Dr.Web Process Heuristic entscheidet basierend auf aktuellen Informationen über Schadsoftware-typische Verhaltensmuster, ob das Programm als schädlich oder als harmlos eingestuft werden muss. Schädliche Programme werden unverzüglich neutralisiert.

Diese Technologie zeichnet sich durch geringen Verbrauch der Rechnerressourcen aus und ermöglicht es Ihnen, Schaden durch unbekannte Viren zu minimieren.

Dr.Web Process Heuristic überwacht alle manipulativen Zugriffe auf das System:

•erkennt Prozesse von Schadprogrammen (z. B. Verschlüsselungsversuche von Ransomware), die in der Lage sind, lokale Benutzerdateien oder in einem Netzwerk freigegebene Dateien zu modifizieren;

•verhindert, dass Schadprogramme ihren schädlichen Code in legitime Prozesse anderer Anwendungen einschleusen;

•schützt kritische Systembereiche vor unbefugten Änderungen durch Schadprogramme;

•erkennt und beendet die Ausführung schädlicher, verdächtiger oder nicht sicherer Skripte und Prozesse;

•schützt den Startbereich der Festplatte vor Änderungen durch Schadprogramme (wie MBR-Rootkits), die sich im MBR verstecken und Startprobleme verursachen können;

•sorgt für die Integrität der Registry und verhindert dadurch die Deaktivierung des abgesicherten Modus von Windows;

•verhindert ungewollte Änderung der Softwareeinschränkungsrichtlinien;

•unterbindet das Laden neuer oder unbekannter Treiber ohne Wissen des Benutzers;

•verhindert, dass Schadprogramme und einige Anwendungen (z. B. Anti-Antiviren-Programmteile) ungefragt sich selbst in die Registry eintragen, um beim Systemstart automatisch zu starten;

•sperrt Registry-Strukturen für virtuelle Gerätetreiber und verhindert dadurch, dass sich trojanische Programme getarnt als neue virtuelle Geräte installieren;

•verhindert, dass Schadprogramme die Ausführung der Systemdienste beeinträchtigen.

Dr.Web Process Dumper

Der Komplexanalysator verpackter Bedrohungen Dr.Web Process Dumper verbessert die Erkennung vermeintlich „neuer Bedrohungen“, d. h. Bedrohungen, die zwar in die Dr.Web Virendatenbank bereits aufgenommen sind, aber sich durch neue Packmechanismen verschleiern. Diese Technologie ermöglicht, die Größe der Dr.Web Virendatenbanken gering zu halten, da für generell gleiche Bedrohungen keine neuen Signaturen hinzugefügt werden müssen. Dadurch werden die treffsichere Erkennung und die wirksame Neutralisierung von Bedrohungen gewährleistet – und all das bei einem schonenden Umgang mit Rechnerressourcen und einer geringen Größe von Updates.

Dr.Web ShellGuard

Dr.Web ShellGuard schützt Ihren Rechner vor Exploits. Exploits sind schädliche Objekte, die Schwachstellen im System ausnutzen und dem Angreifer umfassenden Zugriff auf betroffene Anwendungen oder gar das gesamte Betriebssystem verschaffen.

Dr.Web ShellGuard schützt gängige Anwendungen für Windows-Betriebssysteme:

•Webbrowser (Internet Explorer, Mozilla Firefox, Yandex.Browser, Google Chrome, Vivaldi Browser)

•Anwendungen des MS Office-Packets, darunter auch MS Office 2016

•Systemanwendungen

•Java-, Flash- und PDF-basierte Anwendungen

•Mediaplayer

Maschinelles Lernen

Diese nicht signaturbasierte Technik wird dazu eingesetzt, um schädliche Objekte aufzuspüren und neutralisieren, deren Signaturen in den Virendatenbanken noch nicht vorhanden sind. Der Vorteil dieser Erkennungsmethode ist, dass ein schädlicher Code anhand seiner Eigenschaften identifiziert werden kann, ohne dass er ausgeführt werden muss.

Diese Erkennungstechnik basiert auf der Einteilung von schädlichen Objekten anhand kennzeichnender Merkmale. Die auf Support Vector Machines basierte Technologie des maschinellen Lernens ermöglicht, Codefragmente von Skriptsprachen zu klassifizieren und sie in eine Datenbank aufzunehmen. Die vom Antivirenprogramm überprüften Objekte werden dann analysiert, um Übereinstimmungen mit Merkmalen des schädlichen Codes zu finden. Die Technologie des maschinellen Lernens automatisiert die Aktualisierung der Liste solcher Merkmale und der Virendatenbanken. Die Technologie kann auch ohne permanente Verbindung mit der Cloud genutzt werden.

Die Technologie des maschinellen Lernens schont die Rechnerressourcen und erfordert keine Code-Ausführung, um die Bedrohung zu erkennen. Das dynamische maschinelle Lernen des Klassifikators kann auch ohne regelmäßige Updates der Virendatenbanken erfolgen.