Annexe B. Neutralisation des menaces

Toutes les solutions antivirus créées par Dr.Web utilisent un ensemble de méthodes de détection, ce qui leur permet d'effectuer des analyses en profondeur des fichiers suspects et de contrôler le comportement des logiciels.

Méthode de détection des menaces

Analyse par signature

Les scans commencent par l’analyse par signature, effectuée en comparant des segments de code de fichiers aux signatures des virus connus. Une Signature est une séquence continue et finie d'octets qui est nécessaire et suffisante pour identifier une menace. Pour réduire la taille de la base de signatures, les solutions Antivirus Dr.Web utilisent des sommes de contrôle de signatures au lieu de séquences complètes de signatures. Les sommes de contrôle identifient les signatures de manière unique, ce qui garantit l’exactitude de la détection de virus et leur neutralisation. Les bases de données virales de Dr.Web sont faites de telle sorte que certaines entrées peuvent être utilisées pour détecter non seulement un virus, mais une famille entière de menaces.

Origins Tracing

En complément de l’analyse par signature, les solutions Antivirus Dr.Web utilisent la méthode unique Origins Tracing™ pour détecter de nouveaux virus ou des virus modifiés utilisant des mécanismes d’infection connus. Grâce à cette technologie, les utilisateurs de Dr.Web sont protégés contre des menaces telles que le Trojan.Encoder.18 (également connu sous le nom «gpcode»). En outre, l'utilisation de la technologie Origins Tracing™ peut réduire considérablement le nombre de faux positifs de l'analyseur heuristique. Les objets détectés grâce à l’algorithme Origins Tracing™ sont indiqués avec l’extension .Origin.

Émulation d'exécution

La méthode d'émulation d'exécution de code est utilisée pour détecter les virus polymorphes et cryptés si la recherche à l'aide des sommes de contrôle des signatures est inapplicable ou considérablement compliquée en raison de l'impossibilité de construire des signatures fiables. La méthode consiste à simuler l'exécution du code en utilisant un émulateur – un modèle de programmation du processeur et de l'environnement d’exécution. L'Émulateur fonctionne avec un espace mémoire protégé (tampon d'émulation), dans lequel l’exécution du logiciel analysé est modélisée instruction par instruction. Cependant, les instructions ne sont pas transmises à un processeur central (CPU) pour exécution réelle. Lorsque l’émulateur reçoit un fichier infecté par un virus polymorphe, le résultat de l’émulation donne le corps décrypté du virus, qui est ensuite facilement trouvable via une recherche par les sommes de contrôles de signatures .

Analyse heuristique

Le fonctionnement de l'analyseur heuristique est fondé sur un ensemble d'heuristiques (hypothèses, dont la signification statistique est confirmée par l'expérience) sur les signes caractéristiques des codes malveillants et, inversement, sur les caractéristiques qui sont extrêmement rares dans les virus. Chaque attribut ou caractéristique du code possède un score indiquant le niveau de dangerosité et de fiabilité. Le score peut être positif si le signe indique la présence d'un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du score total du fichier, l'analyseur heuristique calcule la probabilité de la présence d'un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l'objet analysé est considéré comme malveillant.

L'analyseur heuristique utilise également la technologie FLY-CODE ™ – un algorithme universel pour l'extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d'objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors du contrôle des objets emballés, les solutions antivirus Dr.Web utilisent également l’analyse par entropie structurale. La technologie détecte les menaces en assemblant des parties de code ; ainsi, une entrée dans la base de données permet l’identification de plusieurs menaces emballées par le même emballeur polymorphe.

Comme tout système basé sur des hypothèses, l'analyseur heuristique peut commettre des erreurs de type I ou II (omettre une menace ou faire un faux positif). Par conséquent, les objets détectés par l'analyseur heuristique reçoivent le statut «suspects».

Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent l'information la plus récente sur tous les programmes malveillants connus. Dès que les chasseurs de virus du Laboratoire Viral Doctor Web découvrent une nouvelle menace, une mise à jour de la base de données virales et des caractéristiques comportementales est publiée. Parfois, les mises à jour sont publiées plusieurs fois par heure. Ainsi, même si un virus passe au travers des gardiens résidents de Dr.Web et pénètre dans le système, il sera détecté après la mise à jour et neutralisé.

Actions

Les produits Dr.Web peuvent appliquer des actions spécifiques aux objets détectés pour neutraliser les menaces informatiques. L'utilisateur peut laisser le logiciel appliquer automatiquement les actions paramétrées par défaut, indiquer les actions à appliquer automatiquement, ou choisir manuellement une action spécifique pour chaque objet dépisté. Les actions disponibles sont :

•Désinfecter – s'applique aux menaces très importantes (virus, vers et trojans). Elle sous-entend une élimination du code nocif des fichiers contaminés et, dans la mesure du possible, la restauration des fichiers contaminés dans leur état initial « sain ». Certains fichiers contaminés ne se composent que d'un code malveillant (Trojans ou copies fonctionnelles des vers), ils doivent donc être supprimés entièrement. Tous les fichiers contaminés ne peuvent pas être désinfectés, mais les algorithmes de désinfection se perfectionnent sans cesse.

•Quarantaine (Déplacer en quarantaine) permet de déplacer une menace dans un dossier spécial et de l’isoler du reste du système. Cette action doit être appliquée lorsqu’aucun traitement n'est possible ou bien s'il s'agit d'objets suspects. Il est recommandé d’envoyer des copies de ces fichiers au Laboratoire Viral de Doctor Web afin qu’il les analyse.

•Supprimer est le procédé le plus radical appliqué aux menaces de tous types. Cette action peut être appliquée à tout type de menace. Elle sera parfois appliquée à un objet pour lequel l’action “Désinfecter” avait été préalablement choisie. Ceci peut se produire si l’objet infecté ne représente qu’un code malveillant et ne contient pas d’information utile (par exemple, le traitement d’un ver informatique implique la suppression de toutes ses copies fonctionnelles).

•Ignorer – action appliquée aux menaces mineures uniquement (pop-up publicitaires, dialers, canulars, logiciels potentiellement dangereux et hacktools), qui indique de passer la menace sans lui appliquer d’action ni afficher d’information sur sa nature.

•Rapport – lorsqu'aucune action n'est appliquée à un objet, les informations le concernant sont néanmoins affichées dans le tableau des résultats du scan.