Annexe B. Méthodes de détection de menaces

 Page d'accueil  Précédent  Suivant

Tous les produits antivirus créés par Doctor Web utilisent l’ensemble de méthodes de détection de menaces, ce qui permet d’analyser les objets suspects de manière approfondie.

Méthodes de détection de menaces

Analyse par signatures

Cette méthode de détection est appliquée en première. Elle est basée sur la recherche des signatures des menaces connues dans le contenu de l’objet analysé. Une signature est une séquence continue et finie d’octets qui est nécessaire et suffisante pour identifier une menace. Pour réduire la taille de la base de signatures, les solutions antivirus Dr.Web utilisent des sommes de contrôle de signatures au lieu de séquences complètes de signatures. Les sommes de contrôle identifient les signatures de manière unique, ce qui garantit l’exactitude de la détection de virus et leur neutralisation. Les bases de données virales Dr.Web sont faites de telle sorte que certaines entrées peuvent être utilisées pour détecter non seulement un virus, mais des classes entières ou des familles de menaces.

Origins Tracing™

C’est un algorithme unique de Dr.Web permettant de détecter un comportement malveillant et de nouvelles menaces, ainsi que des menaces modifiées utilisant des mécanismes connus et décrits dans les bases virales. Cette technologie intervient à la fin de la recherche par signatures et assure la protection des utilisateurs utilisant les solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom « gpcode »). En outre, l’utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l’analyseur heuristique. Un postfix .Origin est ajouté aux noms des menaces détectées à l’aide de la technologie Origins Tracing.

Émulation d’exécution

La méthode d’émulation du code logiciel est utilisée pour la détection des virus polymorphes et chiffrés, lorsque l’utilisation de l’analyse par signatures est impossible ou bien, elle devient compliquée, car la création de signatures fiables devient impossible. La méthode consiste en une imitation du code, analysé à l’aide de l’émulateur (logiciel qui reproduit le modèle du processeur et de l’environnement d’exécution de programmes). L’émulateur opère avec la partie protégée de la mémoire (tampon d’émulation). Les instructions ne sont alors pas transmises au processeur central pour leur réelle exécution. Si le code traité par l’émulateur est infecté par un virus, le corps de virus sera déchiffré. Ensuite, ce corps de virus sera détecté sans problèmes par la méthode de l’analyse par signatures.

Analyse heuristique

Le fonctionnement de l’analyseur heuristique est fondé sur un ensemble d’heuristiques (hypothèses, dont la signification statistique est confirmée par l’expérience) des signes caractéristiques de logiciels malveillants et, inversement, le code exécutable sécurisé. Chaque attribut ou caractéristique du code possède un score (le nombre indiquant l’importance et la validité de cette caractéristique). Le score peut être positif si l’attribut indique la présence d’un comportement de code malveillant, et négatif si l’attribut ne correspond pas à une menace informatique. En fonction du score total du contenu du fichier, l’analyseur heuristique calcule la probabilité de la présence d’un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l’objet analysé est considéré comme malveillant.

L’analyseur heuristique utilise également la technologie FLY-CODE™ – un algorithme universel pour l’extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d’objets malveillants dans les objets compressés par des outils de compression (packers), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de l’analyse des objets emballés, une technologie d’analyse de leur entropie structurelle est également utilisée, cette technologie permet de détecter les menaces grâce aux spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base virale de détecter un ensemble de différents types de menaces qui sont emballées par le même packer polymorphe.

Comme tout système basé sur des hypothèses, l’analyseur heuristique peut commettre des erreurs de type I (omettre une menace inconnue) ou II (faire un faux positif). Par conséquent, les objets marqués par l’analyseur heuristique comme « malveillants » reçoivent le statut « suspects ».

Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent les informations les plus récentes sur tous les programmes malveillants connus. Les signatures des menaces et les informations sur leurs caractéristiques et les comportements sont mises à jour et ajoutées à la base de données de virus immédiatement, dès que les spécialistes du Laboratoire antivirus de Doctor Web découvrent de nouvelles menaces, parfois jusqu’à plusieurs fois par heure. Même si un nouveau malware infiltre l’ordinateur, en évitant la protection Dr.Web, il sera détecté dans la liste de processus et neutralisé après la mise à jour des bases virales.