Fonctionnalités principales

1.Détection et neutralisation de menaces. Détection et neutralisation de tout type de programmes malveillants (par exemple, les virus, y compris ceux qui infectent les boîtes de réception et les enregistrements d’amorçage, les Trojans, les vers de mail, etc.) et des logiciels non sollicités (par exemple, les adwares, les canulars, les dialers, etc.). Pour en savoir plus sur les types de menaces, voir Annexe A. Types de menaces informatiques.

Dr.Web pour Linux utilise plusieurs méthodes de détection des logiciels malveillants simultanément :

•Analyse par signature. Méthode qui permet la détection des menaces connues, les informations sur ces menaces sont contenues dans des bases virales.

•Analyse heuristique. Ensemble de méthodes qui permettent la détection des menaces qui ne sont pas encore connues.

•Technologie cloud de détection de menaces. Une connexion au service Dr.Web Cloud est effectuée qui collecte les informations les plus actuelles sur les menaces, envoyées par les produits antivirus différents de Dr.Web.

Notez que l’analyseur heuristique peut signaler les faux positif. Comme un objet peut être considéré à tort comme malveillant, toutes les menaces détectées par l’analyseur heuristique sont traitées comme suspectes. Ainsi, il est recommandé de placer ces fichiers en quarantaine et de les envoyer pour analyse au laboratoire antivirus de Doctor Web. Pour en savoir plus sur les méthodes de neutralisation des menaces, voir Annexe B. Neutralisation des menaces.

Les objets système sont scannés sur demande de l’utilisateur ou automatiquement, selon la planification. L’utilisateur peut lancer un scan de tous les objets du système de fichiers (les fichiers et les enregistrements d’amorçage) accessibles ou bien sélectionner le scan personnalisé pour que seuls les fichiers, répertoires et enregistrements d’amorçage spécifiés soient scannés. Il est également possible de lancer uniquement un scan des fichiers exécutables binaires contenant le code des processus en cours d’exécution. Si une menace est détectée dans ce cas de figure, l’objet malveillant est neutralisé et le processus actif est stoppé.

Pour les systèmes à l’environnement de bureau graphique, il existe la possibilité d’intégrer les fonctions de scan de fichiers à l’aide de la barre de tâches ou bien à l’aide de gestionnaire de fichiers graphique. Dans les systèmes utilisant les modèles de contrôle d’accès obligatoire avec de différents niveaux d’accès, les fichiers inaccessibles sur le niveau d’accès actuel peuvent être analysées en mode de copie autonome.

Tous les objets contenant des menaces détectés dans le système de fichiers sont enregistrés dans le registre de menaces stocké en permanence sauf les menaces qui sont détectées en mode de copie autonome.

L’utilitaire de gestion à partir de la ligne de commande inclus dans Dr.Web pour Linux permet d’analyser les systèmes de fichiers des hôtes distants du réseau qui fournissent un accès distant via SSH ou Telnet.

Vous pouvez utiliser le scan à distance uniquement pour détecter les fichiers suspects ou malveillants sur l’hôte distant. Pour neutraliser les menaces détectées sur le nœud distant, utilisez les outils de gestion fournis par ce nœud. Par exemple, pour les routeurs et d’autres dispositifs intelligents, vous pouvez mettre à jour le firmware, pour l’ordinateur — on peut s’y connecter (y compris en mode terminal distant) et effectuer les opérations nécessaire dans le système de fichiers (supprimer ou déplacer les fichiers, etc.) ou lancer un logiciel antivirus installé sur cet ordinateur.

2.Surveillance des requîtes aux fichiers. Surveillance de l’accès aux fichiers contenant des données et tentatives de lancement des fichiers exécutables. Cette fonction permet de détecter et de neutraliser des programmes malveillants juste au moment d’une tentative d’infecter l’ordinateur. En dehors du mode de surveillance standard, il existe la possibilité d’activer le mode renforcé (« paranoïde ») dans lequel l’accès aux fichiers sera bloqué par le moniteur jusqu’à la fin de leur analyse (cela permet de prévenir les cas d’accès au fichier contenant une menace, quand le résultat de l’analyse est connu après l’accès de l’application au fichier). Le mode de surveillance renforcé augmente le niveau de sécurité mais ralentit l’accès des applications aux fichiers non analysés.

3.Surveillance des connexions réseau. Surveillance des tentatives d’accéder aux serveurs sur Internet (serveurs Web, serveurs de fichiers) via les protocoles HTTP et FTP pour le blocage d’accès d’utilisateurs aux sites Web et aux hôtes dont les adresses sont marquées comme indésirables et la prévention de téléchargement de fichiers malveillants.

4.Analyse des messages e-mail pour prévenir la réception et l’envoi des messages e-mail contenant des fichiers infectés, des liens indésirables, ainsi que des messages classés comme spam.

L’analyse des messages e-mail et des fichiers téléchargés sur le réseau se fait « à la volée ». En fonction de la fourniture, Dr.Web pour Linux peut ne pas contenir Dr.Web Anti-Spam. Dans ce cas, l’analyse antispam de messages e-mail n’est pas effectuée.

Pour déterminer les liens indésirables, on utilise la base de données de catégories de ressources Web fournie avec Dr.Web pour Linux et mise à jour automatiquement, ainsi que les listes blanche et noire créées par l’utilisateur. De plus, Dr.Web pour Linux peut s’adresser au service Dr.Web Cloud pour vérifier si le site que l’utilisateur veut visiter ou le lien dans un message est marqué comme malveillant par d’autres produits Dr.Web.

Si certains messages ne sont pas correctement reconnus par le composant Dr.Web Anti-Spam, il est recommandé de les envoyer aux adresses e-mail spéciales pour l’analyse et l’amélioration de fonctionnement du filtre antispam. Pour cela, enregistrez chaque message dans un fichier de type .eml. Veuillez joindre les fichiers sauvegardes à un message e-mail, et envoyez ce message à l’adresse service correspondante.

•nonspam@drweb.com : si le message contient les fichiers classés par erreur comme spam ;

•spam@drweb.com : si le message contient les fichiers non classés par erreur comme spam.

5.Isolation fiable des objets infectés ou suspects. Ces objets sont déplacés dans un dossier de stockage spécial, la quarantaine, pour prévenir tout endommagement du système. Lors du déplacement en quarantaine, les objets sont renommés selon des règles spécifiques et, si nécessaire, ils peuvent être restaurés dans leur emplacement d’origine sur simple requête de l’utilisateur.

6.Mise à jour automatique des bases virales de Dr.Web et du moteur antivirus pour permettre à Dr.Web pour Linux d’utiliser les données les plus récentes à propos des logiciels malveillants connus.

7.Collecte des statistiques sur les analyses et les événements viraux ; journalisation des menaces détectées (le journal est disponible uniquement depuis l’utilitaire de gestion dans la ligne de commande) ; envoi des statistiques sur les événements de viraux dans le service cloud Dr.Web Cloud.

8.Fonctionnement en mode Protection centralisée (s’il y a une connexion au serveur de protection centralisée, comme avec Dr.Web Enterprise Server ou dans le service Dr.Web AV-Desk). Ce mode permet d’implémenter une politique de sécurité unifiée sur les ordinateurs du réseau protégé. Cela peut être un réseau d’entreprise, un réseau privé (VPN), ou le réseau d’un fournisseur de services (par exemple, accès à Internet).

Vu que l’utilisation de l’information stockée sur le service Dr.Web Cloud, requiert la transmission de données concernant l’activité de l’utilisateur (notamment – la transmission des adresses de sites web à vérifier), la connexion à Dr.Web Cloud est effectuée seulement après l’autorisation de l’utilisateur. Si cela est nécessaire, vous pouvez interdire l’utilisation de Dr.Web Cloud à tout moment.