Méthode de détection des menaces

Toutes les solutions antivirus créées par Doctor Web utilisent un ensemble de méthodes de détection, ce qui leur permet d’effectuer des analyses en profondeur des fichiers suspects.

Analyse de signature

Cette méthode de détection est appliquée en premier lieu. Elle est mise en oeuvre en examinant le contenu de l’objet à la recherche des signatures de menaces connues. Une Signature est une séquence continue et finie d’octets qui est nécessaire et suffisante pour identifier une menace. La comparaison du contenu de l’objet avec les signatures n’est pas effectuée directement, mais par leur somme de contrôle ce qui permet de réduire considérablement la taille des entrées dans les bases de données virales tout en préservant le caractère unique de la conformité et par conséquent, l’exactitude de la détection des menaces et du traitement des objets infectés. Les entrées dans les bases virales Dr.Web sont rédigées de sorte que la même entrée peut détecter des classes entières ou des familles de menaces.

Origins Tracing

Cette une technologie unique Dr.Web permettant de détecter les nouvelles menaces ou celles modifiées et utilisant des mécanismes de contamination ou un comportement malveillant qui sont déjà connus de la base de données virale. Cette technologie intervient à la fin de l’analyse par signature et assure une protection des utilisateurs utilisant des solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom « gpcode »). En outre, l’utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l’analyseur heuristique. Les noms des menaces détectées à l’aide d’Origins Tracing sont complétés par .Origin.

Émulation de l’exécution

La méthode d’émulation d’exécution de code est utilisée pour détecter les virus polymorphes et cryptés si la recherche à l’aide des sommes de contrôle des signatures est inapplicable ou très compliquée en raison de l’impossibilité de construire des signatures fiables. La méthode consiste à simuler l’exécution du code en utilisant l’émulateur — un modèle du processeur et de l’environnement du programme. L’Émulateur fonctionne avec un espace mémoire protégé (tampon d’émulation). Dans ce cas, les instructions ne sont pas transmises au processeur central pour exécution réelle. Si le code traité par l’émulateur est infecté, alors le résultat de son émulation est un rétablissement du code malveillant d’origine disponible pour une analyse de signature.

Analyse heuristique

Le fonctionnement de l’analyseur heuristique est fondé sur un ensemble d’heuristiques (hypothèses, dont la signification statistique est confirmée par l’expérience) des signes caractéristiques de code malveillant et, inversement, de code exécutable sécurisé. Chaque attribut ou caractéristique du code possède un score (le nombre indiquant l’importance et la validité de cette caractéristique). Le score peut être positif si le signe indique la présence d’un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du score total du contenu du fichier, l’analyseur heuristique calcule la probabilité de la présence d’un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l’objet analysé est considéré comme malveillant.

Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d’objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de la vérification des objets emballés, une technologie d’analyse de leur entropie structurelle est également utilisée, cette technologie peut détecter les menaces sur les spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base de données de détecter un ensemble de différents types de menaces qui sont emballées du même packer polymorphe.L’analyseur heuristique utilise également la technologie FLY-CODE — un algorithme universel pour l’extraction des fichiers.

Comme tout système basé sur des hypothèses, l’analyseur heuristique peut commettre des erreurs de type I (omettre une menace inconnue) ou de type II (faire un faux positif). Par conséquent, les objets marqués par l’analyseur heuristique comme « malveillants » reçoivent le statut « suspects ».

Analyse de comportement

Les techniques de l’analyse de comportement permettent d’analyser la cohérence des actions de tous les processus du système. Si une application se comporte comme un programme malveillant, ses actions seront bloquées.

Dr.Web Process Heuristic

La technologie de l’analyse de comportement Dr.Web Process Heuristic protège contre les nouveaux programmes les plus dangereux qui sont capables d’éviter la détection par les moyens traditionnels : le mécanisme de signatures et le mécanisme heuristique.

Dr.Web Process Heuristic analyse le comportement de chaque programme lancé en consultant le service cloud Dr.Web qui est mis à jour constamment. Dr.Web Process Heuristic se base sur les connaissances actuelles sur le comportement des programmes malveillants, il évalue le niveau de danger et prend les mesures nécessaires afin de neutraliser la menace.

Cette technologie permet de minimiser les pertes dues à l’action d’un virus inconnu — en cas de consommation minimum des ressources du système à protéger.

Dr.Web Process Heuristic contrôle toutes les tentatives de modifier le système :

il identifie les processus de programmes malveillants qui modifient des fichiers utilisateur d’une manière indésirable (par exemple, les tentatives de chiffrements de la part des trojans-encodeurs), y compris les fichiers se trouvant dans des répertoires accessibles par le réseau ;

il empêche les tentatives de programmes malveillants de s’infiltrer dans des processus d’autres applications ;

il protège les zones critiques du système contre les modifications par les programmes malveillants ;

il détecte et arrête des scripts et des processus malveillants, suspects et peu fiables ;

il bloque la possibilité de modifier les zones d’amorçage du disque par les programmes malveillants afin d’éviter le lancement (par exemple, d’un bootkit) sur l’ordinateur ;

il prévient la désactivation de la mode sécurisée Windows en bloquant les modification du registre ;

il n’autorise pas aux programmes malveillants de modifier les règles de lancement de programmes ;

il bloque les téléchargements de nouveaux pilotes ou de pilotes inconnus qui sont lancés sans avertissement de l’utilisateur ;

il bloque l’autodémarrage de programmes malveillants et des applications particulières, par exemple des anti-antivirus en les empêchant de s’enregistrer dans le registre pour le lancement ultérieur ;

il bloque les branches du registre qui sont responsables des pilotes des dispositifs virtuels ce qui rend impossible l’installation du cheval de Troie sous forme d’un nouveau dispositif virtuel ;

il ne permet pas au logiciel malveillant de perturber le fonctionnement normal des services système.

Dr.Web Process Dumper

L’analyseur complexe des menaces compressées Dr.Web Process Dumper augmente considérablement le niveau de détection des menaces supposées « nouvelles » (ce sont des menaces connues dans la base virale de Dr.Web, mais elle sont masquées sous de nouveaux packers) et exclut la nécessité d’ajouter dans les bases de nouvelles entrées portant sur les menaces. Vu que les bases virales Dr.Web gardent leur taille réduite, les pré-requis système n’augmentent pas et les mises à jour restent légères pendant que la détection et la désinfection de menaces est de haut niveau.

Dr.Web ShellGuard

La technologie Dr.Web ShellGuard protège l’ordinateur contre les exploits — les objets malveillants qui essaient d’exploiter les vulnérabilités afin d’obtenir le contrôle sur les applications attaquées et sur le système entier.

Dr.Web ShellGuard protège les applications les plus utilisées installées sur les ordinateurs tournant sous Windows :

les navigateurs web (Internet Explorer, Mozilla Firefox, Yandex.Browser, Google Chrome, Vivaldi Browser, etc.) ;

les applications MS Office, y compris MS Office 2016 ;

les applications système ;

les applications utilisant les technologies java, flash et pdf ;

les lecteurs média.

En analysant des actions potentiellement dangereuses, le système de protection grâce à la technologie Dr.Web ShellGuard se base non seulement sur les règles établies qui sont sauvegardées sur l’ordinateur mais aussi sur les connaissances du service cloud Dr.Web dans lequel sont collectées :

les données sur les algorithmes des programmes aux intentions malveillantes ;

les informations sur les fichiers sains ;

les informations sur les signatures numériques compromises des développeurs de logiciels célèbres ;

les informations sur les signatures numériques des logiciels publicitaires ou potentiellement dangereux ;

les algorithmes de protection de telles ou telles applications.

Méthode de l’apprentissage machine

Elle est utilisée pour rechercher et neutraliser les objets malveillant qui ne sont pas encore inclus dans les bases virales. L’avantage de cette méthode est que le code malveillant est détecté en fonction de ses caractéristiques, sans être exécuté.

La détection de menaces est basée sur la classification des objets malveillants par les caractéristiques particulières. La technologie de l’apprentissage machine est basée sur les machines à vecteurs de support et elle permet d’effectuer la classification et l’enregistrement des fragments du code de langages de script dans la base. Ensuite, les objets détectés sont analysés pour leur conformité aux caractéristiques du code malveillant. La technologie de l’apprentissage machine met à jour automatiquement la liste des caractéristiques et les bases virales. Grâce à la connexion au service cloud, de grands volumes de données sont traités plus vite et l’apprentissage constant du système assure la protection préventive contre les menaces les plus récentes. De plus, la technologie peut fonctionner sans la connexion permanente au cloud.

La méthode de l’apprentissage machine économise les ressources du système d’exploitation car elle ne nécessite pas l’exécution du code pour détecter des menaces et l’apprentissage machine dynamique peut s’effectuer sans la mise à jour permanente de bases virales comme c’est le cas de l’analyse de signatures.

Technologies cloud de détection de menaces

Les méthodes cloud de détection permettent d’analyser n’importe quel objet (fichier, application, extension pour le navigateur, etc.) par la somme de contrôle. La somme de contrôle est une séquence de lettres et chiffres de la longueur spécifiée. Lors de l’analyse par la somme de contrôle les objets sont vérifiés dans la base existante et puis, ils sont classés en catégories : sains, suspects, malveillants, etc.

Une telle technologie réduit le temps de l’analyse des fichiers et économise les ressources de l’appareil. Vu que c’est la somme de contrôle unique est analysée et non pas l’objet, la décision est prise tout de suite. S’il n’y a pas de connexion aux serveurs Dr.Web, les fichiers sont analysés de manière locale et l’analyse cloud est reprise après la restauration de la connexion.

Ainsi, le service cloud de Doctor Web collecte les informations sur de multiples utilisateurs et met rapidement à jour les données sur les menaces inconnues auparavant ce qui augmente l’efficacité de la protection des appareils.