Analisi comportamentale

Il componente Analisi comportamentale consente di configurare la reazione di Dr.Web alle azioni di applicazioni di terzi non incluse tra quelle affidabili, che possono portare all'infezione del computer, per esempio, i tentativi di modifica del file HOSTS o dei rami critici del registro di sistema. Quando è attivato il componente Analisi comportamentale, il programma proibisce la modifica automatica degli oggetti di sistema, la cui modifica indica chiaramente un tentativo di impatto malevolo sul sistema operativo. L'analisi comportamentale protegge il sistema dai programmi malevoli precedentemente sconosciuti che sono capaci di evitare il rilevamento tramite i maccanismi tradizionali di firme antivirali e analisi euristica. Per determinare se le applicazioni sono malevole, vengono utilizzati i dati più recenti del servizio cloud Dr.Web.

Per attivare o disattivare il componente Analisi comportamentale

1.Aprire il menu Dr.Web Icona Dr.Web e selezionare la voce Centro sicurezza.

2.Nella finestra che si è aperta fare clic sulla piastrella Protezione preventiva.

3.Attivare o disattivare il componente Analisi comportamentale utilizzando l'interruttore .

Immagine 68. Attivazione/disattivazione del componente Analisi comportamentale

In questa sezione:

Modalità di funzionamento del componente

Creazione e modifica di singole regole per applicazioni

Descrizione degli oggetti protetti

Parametri di Analisi comportamentale

Le impostazioni predefinite del programma sono ottimali nella maggior parte dei casi, non dovrebbero essere modificate senza necessità.

Per andare ai parametri del componente Analisi comportamentale

1.Assicurarsi che Dr.Web funzioni in modalità amministratore (il lucchetto nella parte inferiore del programma è "aperto" ). Altrimenti, cliccare sul lucchetto .

2.Fare clic sulla piastrella Analisi comportamentale. Si aprirà la finestra dei parametri del componente.

Immagine 69. Parametri di Analisi comportamentale

È possibile impostare un livello di protezione separato per oggetti e processi specifici e un livello generale le cui impostazioni verranno applicate a tutti gli altri processi. Per impostare il livello di protezione generale, nella scheda Livello di protezione selezionare il livello richiesto dalla lista a cascata.

Livelli di protezione

Livello di protezione

Descrizione

Ottimale (consigliato)

Viene utilizzata di default. Dr.Web proibisce la modifica automatica degli oggetti di sistema la cui modifica indica chiaramente un tentativo di impatto malevolo sul sistema operativo. Inoltre, vengono proibiti l'accesso al disco a basso livello e la modifica del file HOSTS da parte di applicazioni le cui attività vengono inequivocabilmente definite come tentativo di impatto malevolo sul sistema operativo.

Nota

Vengono bloccate solo le azioni delle applicazioni che non sono affidabili.

Medio

Questo livello di protezione può essere impostato nel caso di aumentato rischio di infezione. In questa modalità viene proibito addizionalmente l'accesso agli oggetti critici che possono potenzialmente essere utilizzati dai programmi malevoli.

Nota

In questa modalità di protezione sono possibili conflitti di compatibilità con programmi di terzi che utilizzano i rami di registro protetti.

Paranoicale

Questo livello di protezione è necessario per il pieno controllo degli accessi agli oggetti critici di Windows. In questo modalità sarà inoltre disponibile il controllo interattivo del caricamento dei driver e dell'esecuzione automatica dei programmi.

Personalizzato

In questa modalità di operazione è possibile selezionare a propria discrezione i livelli di protezione per ciascun oggetto.

Modalità personalizzata

Tutte le modifiche alle impostazioni vengono salvate in modalità di funzionamento Personalizzato. In questa finestra è inoltre possibile creare un nuovo livello di protezione per salvare le impostazioni richieste. Con tutte le impostazioni del componente gli oggetti protetti saranno disponibili per la lettura.

È possibile selezionare una delle reazioni Dr.Web ai tentativi di modifica degli oggetti protetti da parte delle applicazioni:

Consenti — l'accesso all'oggetto protetto sarà consentito per tutte le applicazioni.

Chiedi — quando un'applicazione tenta di modificare un oggetto protetto, verrà visualizzato un avviso:

Immagine 70. Esempio di avviso con la richiesta di accesso all'oggetto protetto

Blocca — quando un'applicazione tenta di modificare un oggetto protetto, l'accesso dell'applicazione sarà negato. Verrà visualizzato un avviso:

Immagine 71. Esempio di avviso sul divieto di accesso all'oggetto protetto

Per creare un nuovo livello di protezione

1.Visualizzare le impostazioni di protezione di default e, se necessario, modificarle.

2.Premere il pulsante Aggiungi.

3.Nella finestra che si è aperta indicare il nome per il nuovo profilo.

4.Premere OK.

Per rimuovere un livello di protezione

1.Dalla lista a cascata selezionare il livello di protezione creato che si vuole rimuovere.

2.Premere il pulsante Rimuovi. I profili predefiniti non possono essere rimossi.

3.Premere OK per confermare la rimozione.

Ricezione degli avvisi

È possibile configurare la visualizzazione sullo schermo degli avvisi sulle attività del componente Analisi comportamentale e l'invio di questi avvisi via email.

Vedi inoltre:

Avvisi

Accesso delle applicazioni

Per configurare i singoli parametri di accesso per applicazioni specifiche, andare alla scheda Accesso delle applicazioni. Qui è possibile aggiungere una nuova regola per un'applicazione, modificare una regola già creata o rimuoverne una non richiesta.

Immagine 72. Parametri di accesso delle applicazioni

Per la gestione degli oggetti nella tabella, sono disponibili i seguenti elementi di gestione:

Pulsante Aggiungi — aggiunta di un set di regole per un'applicazione.

Pulsante Modifica — modifica dei set di regole esistenti.

Pulsante Rimuovi — rimozione di un set di regole.

Nella colonna Tipo di regola (Tipo di regola) possono essere visualizzati tre tipi di regole:

Consenti — è impostata la regola Consenti tutto per tutti gli oggetti protetti.

Personalizzato — sono impostate regole diverse per oggetti protetti.

Proibisci — è impostata la regola Blocca tutto per tutti gli oggetti protetti.

Per aggiungere una regola per un'applicazione

1.Premere il pulsante Aggiungi.

2.Nella finestra che si è aperta premere il pulsante Sfoglia e indicare il percorso del file eseguibile dell'applicazione.

Immagine 73. Aggiunta di un set di regole per un'applicazione

3.Visualizzare le impostazioni di protezione di default e, se necessario, modificarle.

4.Premere OK.

Oggetti protetti

Oggetto protetto

Descrizione

Integrità delle applicazioni in esecuzione

Questa impostazione consente di monitorare i processi che si incorporano nelle applicazioni in esecuzione, il che costituisce una minaccia per la sicurezza del computer.

File HOSTS

Il file HOSTS viene utilizzato dal sistema operativo per semplificare l'accesso a internet. Modifiche a questo file possono essere risultato del funzionamento di un virus o di un altro programma malevolo.

Accesso al disco a basso livello

Questa impostazione consente di proibire alle applicazioni di registrare informazioni su disco settore per settore senza utilizzare il file system.

Caricamento dei driver

Questa impostazione consente di proibire alle applicazioni di caricare driver nuovi o sconosciuti.

Aree critiche di Windows

Le altre impostazioni consentono di proteggere i rami di registro contro le modifiche (sia nel profilo di sistema che nei profili di tutti gli utenti).

Accesso ai parametri di avvio applicazioni (IFEO):

Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Driver di dispositivi multimediali:

Software\Microsoft\Windows NT\CurrentVersion\Drivers32

Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers

Parametri della shell Winlogon:

Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL

Notifiche di Winlogon:

Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Avvio automatico della shell di Windows:

Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib

Associazione dei file eseguibili:

Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (chiavi)

Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (chiavi)

Criteri restrizione software (SRP):

Software\Policies\Microsoft\Windows\Safer

Plugin di Internet Explorer (BHO):

Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Esecuzione automatica programmi:

Software\Microsoft\Windows\CurrentVersion\Run

Software\Microsoft\Windows\CurrentVersion\RunOnce

Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup

Software\Microsoft\Windows\CurrentVersion\RunServices

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Esecuzione automatica criteri:

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Configurazione della modalità provvisoria:

SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal

SYSTEM\ControlSetXXX\Control\SafeBoot\Network

Parametri di Gestione sessioni:

System\ControlSetXXX\Control\Session Manager\SubSystems, Windows

Servizi di sistema:

System\CurrentControlXXX\Services

Nota

Se si riscontrano problemi durante l'installazione di aggiornamenti importanti Microsoft o l'installazione e il funzionamento di programmi (compresi i programmi di deframmentazione), disattivare temporaneamente Analisi comportamentale.