Méthode de détection des menaces

Toutes les solutions antivirus créées par Doctor Web utilisent un ensemble de méthodes de détection, ce qui leur permet d’effectuer des analyses en profondeur des fichiers suspects.

Analyse de signature

Cette méthode de détection est appliquée en premier lieu. Elle est basée sur la recherche des signatures de menaces connues dans le contenu de l’objet analysé. Une Signature est une séquence continue et finie d’octets qui est nécessaire et suffisante pour identifier une menace. La comparaison du contenu de l’objet avec les signatures n’est pas effectuée directement, mais par leur sommes de contrôle ce qui permet de réduire considérablement la taille des entrées dans les bases de données virales tout en préservant le caractère unique de la conformité et par conséquent, l’exactitude de la détection des menaces et du traitement des objets infectés. Les entrées dans les bases virales Dr.Web sont rédigées de sorte que la même entrée peut détecter des classes entières ou des familles de menaces.

Origins Tracing

Cette une technologie unique Dr.Web permettant de détecter les nouvelles menaces ou les menaces modifiées et utilisant des mécanismes de contamination ou un comportement malveillant qui sont déjà connus de la base de données virale. Cette technologie intervient à la fin de l’analyse par signature et assure une protection des utilisateurs utilisant des solutions antivirus Dr.Web contre les menaces telles que Trojan.Encoder.18 (également connu sous le nom « gpcode »). En outre, l’utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l’analyseur heuristique. Les noms des menaces détectées à l’aide d’Origins Tracing sont complétés par .Origin.

Émulation de l’exécution

La méthode d’émulation d’exécution de code est utilisée pour détecter les virus polymorphes et cryptés si la recherche à l’aide des sommes de contrôle des signatures est inapplicable ou très compliquée en raison de l’impossibilité de construire des signatures fiables. La méthode consiste à simuler l’exécution du code en utilisant l’émulateur — un modèle du processeur et de l’environnement du programme. L’Émulateur fonctionne avec un espace mémoire protégé (tampon d’émulation). Dans ce cas, les instructions ne sont pas transmises au processeur central pour exécution réelle. Si le code traité par l’émulateur est infecté, alors le résultat de son émulation est un rétablissement du code malveillant d’origine disponible pour une analyse de signature.

Analyse heuristique

Le fonctionnement de l’analyseur heuristique est fondé sur un ensemble d’heuristiques (hypothèses, dont la signification statistique est confirmée par l’expérience) des signes caractéristiques de code malveillant et, inversement, de code exécutable sécurisé. Chaque attribut ou caractéristique du code possède un score (le nombre indiquant l’importance et la validité de cette caractéristique). Le score peut être positif si le signe indique la présence d’un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du score total du contenu du fichier, l’analyseur heuristique calcule la probabilité de la présence d’un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l’objet analysé est considéré comme malveillant.

L’analyseur heuristique utilise également la technologie FLY-CODE — un algorithme universel pour l’extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d’objets malveillants dans les objets compressés par des outils de compression (emballeurs). De plus il ne s’agit pas seulement des outils connus par les développeurs des produits Dr.Web, mais également des outils de compression nouveaux et inexplorés. Lors de l’analyse des objets emballés, une technologie d’analyse de leur entropie structurelle est également utilisée. Cette technologie permet de détecter les menaces par les spécificités de la localisation des fragments de leur code. Grâce à une seule entrée de la base de données, la technologie permet de détecter un ensemble de différents types de menaces qui sont emballées par le même packer polymorphe.

Comme tout système basé sur des hypothèses, l’analyseur heuristique peut commettre des erreurs de type I (omettre une menace inconnue) ou de type II (faire un faux positif). Par conséquent, les objets marqués par l’analyseur heuristique comme « malveillants » reçoivent le statut « suspects ».

Analyse de comportement

Les techniques de l’analyse de comportement permettent d’analyser la cohérence des actions de tous les processus du système. Si une application se comporte comme un programme malveillant, ses actions seront bloquées.

Dr.Web Process Heuristic

La technologie de l’analyse de comportement Dr.Web Process Heuristic protège contre les nouveaux programmes les plus dangereux qui sont capables d’éviter la détection par les moyens traditionnels : le mécanisme de signatures et le mécanisme heuristique.

Dr.Web Process Heuristic analyse le comportement de chaque programme lancé en consultant le service cloud Dr.Web qui est mis à jour constamment. Dr.Web Process Heuristic se base sur les connaissances actuelles de comportement des programmes malveillants, il évalue le niveau de danger et prend les mesures nécessaires afin de neutraliser la menace. Le préfixe DPH est ajouté aux noms des menaces détectées grâce à Dr.Web Process Heuristic.

Cette technologie permet de minimiser les pertes dues à l’action d’un virus inconnu — en cas de consommation minimum des ressources du système à protéger.

Dr.Web Process Heuristic contrôle toutes les tentatives de modifier le système :

•il identifie les processus de programmes malveillants qui modifient des fichiers utilisateur d’une manière indésirable (par exemple, les tentatives de chiffrements de la part des Trojans-encodeurs), y compris les fichiers se trouvant dans des répertoires accessibles par le réseau ;

•il empêche les tentatives de programmes malveillants de s’infiltrer dans des processus d’autres applications ;

•il protège les zones critiques du système contre les modifications par les programmes malveillants ;

•il détecte et arrête des scripts et des processus malveillants, suspects et peu fiables ;

•il bloque la possibilité de modifier les zones d’amorçage du disque par les programmes malveillants afin d’éviter le lancement (par exemple, d’un bootkit) sur l’ordinateur ;

•il prévient la désactivation de la mode sécurisée Windows en bloquant les modification du registre ;

•il n’autorise pas aux programmes malveillants de modifier les règles de lancement de programmes ;

•il bloque les téléchargements de nouveaux pilotes ou de pilotes inconnus qui sont lancés sans avertissement de l’utilisateur ;

•il bloque l’autodémarrage de programmes malveillants et des applications particulières, par exemple des anti-antivirus en les empêchant de s’enregistrer dans le registre pour un lancement ultérieur ;

•il bloque les branches du registre qui sont responsables des pilotes des dispositifs virtuels ce qui rend impossible l’installation du cheval de Troie sous forme d’un nouveau dispositif virtuel ;

•il ne permet pas au logiciel malveillant de perturber le fonctionnement normal des services système.

Dr.Web Process Dumper

L’analyseur complexe des menaces compressées Dr.Web Process Dumper augmente considérablement le niveau de détection des menaces supposées « nouvelles » (ce sont des menaces connues dans la base virale de Dr.Web, mais qui sont masquées sous de nouveaux packers) et exclut la nécessité d’ajouter dans les bases de nouvelles entrées portant sur les menaces. Vu que les bases virales Dr.Web gardent leur taille réduite, les pré-requis système n’augmentent pas et les mises à jour restent légères pendant que la détection et la désinfection de menaces est de haut niveau. Le préfixe DPD est ajouté aux noms des menaces détectées grâce à Dr.Web Process Dumper.

Dr.Web ShellGuard

La technologie Dr.Web ShellGuard protège l’ordinateur contre les exploits — les objets malveillants qui essaient d’exploiter les vulnérabilités afin d’obtenir le contrôle sur les applications attaquées et sur le système entier. Le préfixe DPH:Trojan.Exploit est ajouté aux noms des menaces détectées grâce à Dr.Web ShellGuard.

Dr.Web ShellGuard protège les applications les plus utilisées installées sur les ordinateurs tournant sous Windows :

•les navigateurs web (Internet Explorer, Mozilla Firefox, Google Chrome, etc.) ;

•les applications MS Office ;

•les applications système ;

•les applications utilisant les technologies java, flash et pdf ;

•les lecteurs média.

En analysant des actions potentiellement dangereuses, le système de protection grâce à la technologie Dr.Web ShellGuard se base non seulement sur les règles établies qui sont sauvegardées sur l’ordinateur mais aussi sur les connaissances du service cloud Dr.Web dans lequel sont collectées :

•les données sur les algorithmes des programmes aux intentions malveillantes ;

•les informations sur les fichiers sains ;

•les informations sur les signatures numériques compromises des développeurs de logiciels célèbres ;

•les informations sur les signatures numériques des logiciels publicitaires ou potentiellement dangereux ;

•les informations sur les sites indésirables ;

•les algorithmes de protection de telles ou telles applications.

Protection contre l’injection de code

Injection de code : une technique qui consiste à injecter un code malveillant dans des processus lancés sur l’appareil. Dr.Web surveille en permanence le comportement de tous les processus dans le système et prévient les tentatives d’injection s’il les considère comme malveillantes. Le préfixe DPH:Trojan.Inject est ajouté aux noms des menaces détectées grâce à la Protection contre les injections de code.

Dr.Web vérifie les caractéristiques suivantes de l’application qui a lancé le processus :

•si l’application est nouvelle ;

•comment elle a pénétré dans le système ;

•où l’application se trouve ;

•comment elle s’appelle ;

•si l’application est incluse dans la liste de confiance ;

•si elle porte une signature numérique du centre de certification fiable ;

•si elle est ajoutée dans la liste noire ou blanche d’applications qui se trouve dans le service cloud de Dr.Web.

Dr.Web suit le statut du processus lancé : vérifie si les flux distants sont créés dans l’espace du processus, si un code s’infiltre dans le processus actif.

L’Antivirus contrôle les modifications qu’apportent les applications, interdit de modifier les processus système et privilégiés. Dr.Web veille à ce que le code malveillant ne puisse pas modifier la mémoire des navigateurs populaires, par exemple, quand vous achetez ou effectuez des virements en ligne.

Protection contre les ransomwares

Protection contre les ransomwares : un des composants de la Protection préventive assurant la protection des fichiers d’utilisateurs contre les Trojans-encodeurs. Ces programmes malveillants pénètrent dans l’ordinateur de l’utilisateur, bloquent l’accès aux données en les chiffrant et, ensuite, réclament une rançon. Le préfixe DPH:Trojan.Encoder est ajouté aux noms des menaces détectées grâce à la Protection contre les ransomwares.

Le composant analyse le comportement d’un processus suspect, en prêtant attention à la recherche des fichiers, à la lecture et aux tentatives de leur modification.

Les caractéristiques suivantes de l’application sont également vérifiées :

•si l’application est nouvelle ;

•comment elle a pénétré dans le système ;

•où l’application se trouve ;

•comment elle s’appelle ;

•si l’application est une application de confiance ;

•si elle porte une signature numérique du centre de certification fiable ;

•si elle est ajoutée dans la liste noire ou blanche d’applications qui se trouve dans le service cloud de Dr.Web.

La nature de la modification du fichier est aussi analysée. Si une application se comporte comme un programme malveillant, ses actions seront bloquées et les tentatives de modification de fichiers seront rejetées.

Méthode de l’apprentissage machine

Elle est utilisée pour rechercher et neutraliser les objets malveillants qui ne sont pas encore inclus dans les bases virales. L’avantage de cette méthode est que le code malveillant est détecté en fonction de ses caractéristiques, sans être exécuté.

La détection de menaces est basée sur la classification des objets malveillants par les caractéristiques particulières. La technologie de l’apprentissage machine est basée sur les machines à vecteurs de support et elle permet d’effectuer la classification et l’enregistrement des fragments du code de langages de script dans la base. Ensuite, les objets détectés sont analysés pour leur conformité aux caractéristiques du code malveillant. La technologie de l’apprentissage machine met à jour automatiquement la liste des caractéristiques et les bases virales. Grâce à la connexion au service cloud, de grands volumes de données sont traités plus vite et l’apprentissage constant du système assure une protection préventive contre les menaces les plus récentes. De plus, la technologie peut fonctionner sans la connexion permanente au cloud.

La méthode de l’apprentissage machine économise les ressources du système d’exploitation car elle ne nécessite pas l’exécution du code pour détecter des menaces et l’apprentissage machine dynamique peut s’effectuer sans la mise à jour permanente de bases virales comme c’est le cas de l’analyse de signatures.

Technologies cloud de détection de menaces

Les méthodes de détection cloud permettent d’analyser n’importe quel objet (fichier, application, extension pour le navigateur, etc.) par la somme de contrôle. La somme de contrôle est une séquence de lettres et chiffres de la longueur spécifiée. Lors de l’analyse par la somme de contrôle les objets sont vérifiés dans la base existante et puis, ils sont classés en catégories : sains, suspects, malveillants, etc. Le préfixe CLOUD est ajouté aux noms des menaces détectées grâce aux Technologies cloud.

Une telle technologie réduit le temps de l’analyse des fichiers et économise les ressources de l’appareil. Vu que c’est la somme de contrôle unique qui est analysée et non pas l’objet, la décision est prise tout de suite. S’il n’y a pas de connexion aux serveurs Dr.Web, les fichiers sont analysés de manière locale et l’analyse cloud est reprise après la restauration de la connexion.

Ainsi, le service cloud de l’entreprise Doctor Web collecte les informations sur de multiples utilisateurs et met rapidement à jour les données sur les menaces inconnues auparavant ce qui augmente l’efficacité de la protection des appareils.