Annexe B. Neutralisation des menaces

Toutes les solutions antivirus créées par Dr.Web utilisent un ensemble de méthodes de détection, ce qui leur permet d’effectuer des analyses en profondeur des fichiers suspects et de contrôler le comportement des logiciels.

C’est la première méthode de détection appliquée. Le scan commence par l’analyse de l’objet à la recherche des signatures des virus connus. Une signature est une séquence continue et finie d’octets qui est nécessaire et suffisante pour identifier une menace. Pour réduire la taille de la base de signatures, les solutions antivirus Dr.Web utilisent des sommes de contrôle de signatures au lieu de séquences complètes de signatures. Les sommes de contrôle identifient les signatures de manière unique, ce qui garantit l’exactitude de la détection de virus et leur neutralisation. Les bases de données virales Dr.Web sont faites de telle sorte que certaines entrées peuvent être utilisées pour détecter non seulement un virus, mais une famille entière de menaces.

C’est une technologie unique qui permet de détecter de nouveaux virus ou des virus modifiés utilisant des mécanismes d’infection connus. Appliquee à la fin de l’analyse par signatures, elle assure la protection des utilisateurs des solutions antivirus Dr.Web contre des menaces telles que le Trojan.Encoder.18 (également connu sous le nom gpcode). En outre, l’utilisation de la technologie Origins Tracing™ peut réduire considérablement le nombre de faux positifs de l’analyseur heuristique. Les objets détectés grâce à Origins Tracing™ obtiennent l’extension .Origin.

La méthode d’émulation d’exécution de code est utilisée pour détecter les virus polymorphes et cryptés si la recherche à l’aide des sommes de contrôle des signatures est inapplicable ou considérablement compliquée en raison de l’impossibilité de construire des signatures fiables. La méthode consiste à simuler l’exécution du code en utilisant un émulateur – un modèle de programmation du processeur et de l’environnement d’exécution. L’Émulateur fonctionne avec un espace mémoire protégé (tampon d’émulation), dans lequel l’exécution du logiciel analysé est modélisée instruction par instruction. Cependant, les instructions ne sont pas transmises à un processeur central (CPU) pour exécution réelle. Lorsque l’émulateur reçoit un fichier infecté par un virus polymorphe, le résultat de l’émulation donne le corps décrypté du virus, qui est ensuite facilement trouvable via une recherche par les sommes de contrôles de signatures.

Le fonctionnement de l’analyseur heuristique est fondé sur un ensemble d’heuristiques (hypothèses, dont la signification statistique est confirmée par l’expérience) sur les signes caractéristiques des codes malveillants et, inversement, sur les caractéristiques qui sont extrêmement rares dans les virus. Chaque attribut ou caractéristique du code possède un score indiquant le niveau de dangerosité et de fiabilité. Le score peut être positif si le signe indique la présence d’un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du score total du fichier, l’analyseur heuristique calcule la probabilité de la présence d’un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l’objet analysé est considéré comme malveillant.

L’analyseur heuristique utilise également la technologie FLY-CODE™ – un algorithme universel pour l’extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d’objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors du contrôle des objets emballés, les solutions antivirus Dr.Web utilisent également l’analyse par entropie structurale. La technologie détecte les menaces en assemblant des parties de code ; ainsi, une entrée dans la base de données permet l’identification de plusieurs menaces emballées par le même emballeur polymorphe.

Comme tout système basé sur des hypothèses, l’analyseur heuristique peut commettre des erreurs de type I ou II (omettre une menace ou faire un faux positif). Par conséquent, les objets détectés par l’analyseur heuristique reçoivent le statut « suspects ».

Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent l’information la plus récente sur tous les programmes malveillants connus. Dès que les spécialistes du laboratoire antivirus Doctor Web découvrent une nouvelle menace, les informations sur ses propriétés et les caractéristiques de comportement sont tout de suite ajoutées dans les bases virales. Parfois, les mises à jour sont publiées plusieurs fois par heure. Ainsi, même si un nouveau programme malveillant passe à travers la protection résidente Dr.Web et pénètre dans le système, il sera détecté et neutralisé après la mise à jour des bases virales.

Les produits Dr.Web peuvent appliquer des actions spécifiques aux objets détectés pour neutraliser les menaces informatiques. L’utilisateur peut laisser le logiciel appliquer automatiquement les actions paramétrées par défaut, indiquer les actions à appliquer automatiquement, ou choisir manuellement une action spécifique pour chaque objet dépisté. Les actions disponibles sont :

•Ignore (Ignorer, sauter) : Ignorer la menace détectée sans appliquer aucune action ;

•Report (Informer) : Informer de la présence d’une menace mais n’appliquer aucune action ;

•Cure (Désinfecter) : essayer de désinfecter l’objet infecté en supprimant le contenu malveillant et en gardant l’intégrité du contenu utile. Notez que cette action n’est pas appliquée à tous les types de menaces ;

•Quarantine (Déplacer en quarantaine, Isoler) : Déplacer un objet infecté (s’il admet cette opération) dans un répertoire spécial de quarantaine pour l’isoler ;

Si la menace est détecté dans un fichier se trouvant dans un conteneur (archive, message, etc.), le conteneur n’est pas supprimé mais il est mise en quarantaine.