Anhang C. Entdeckungsverfahren von Viren

Alle Antivirus-Komponenten von Dr.Web setzen gleichzeitig mehrere Entdeckungsverfahren von schädlichen Objekten ein. Dies ermöglicht, maximal sorgfältig alle verdächtigen Dateien zu prüfen und das Verhalten der Software zu kontrollieren:

1.In erster Linie wird die Signaturanalyse eingesetzt. Dieses Verfahren lässt den Code von verdächtigen Dateien analysieren, um festzustellen, ob sie den bekannten Virensignaturen entsprechen (Signatur ist eine kontinuierliche endliche Byte-Reihnfolge, die für Erkennung eines Virus erforderlich und ausreichend ist). Dabei werden die Prüfsummen von Signaturen verglichen, was zu einer wesentlichen Verringerung der Virendatenbankgröße beiträgt. Dabei bleibt die eindeutige Übereinstimmung und demgemäß die Zuverlässigkeit bei Virusentdeckung und Desinfizierung der verdächtigen Dateien erhalten. Die Dr.Web Virendatenbanken sind so zusammengesetzt, dass nur mit einer Signatur mehrere Klassen von Bedrohungen entdeckt werden können.

2.Nach der Signaturanalyse wird die einzigartige Origins Tracing™ Technologie eingesetzt, die zur Entdeckung von neuen und modifizierten Viren dient, die bekannte Infizierungsmechanismen benutzen. Dieses Verfahren schützt die Benutzer von Dr.Web Antivirus-Lösungen vor solchen Viren, wie z.B. Erpresservirus Trojan.Encoder.18 (das auch unter dem Namen gpcode bekannt ist). Weiterhin lässt Origins Tracing die Anzahl von Fehlauslösungen der heuristischen Analyse reduzieren.

3.Das Prinzip der heuristischen Analyse basiert auf Wissen (Heuristiken) über kennzeichnende Merkmale eines Viruscodes sowie eines zuverlässigen Codes. Jedes Merkmal besitzt bestimmten Wert (eine Zahl, die Wesentlichkeit und Zuverlässigkeit dieses Merkmales anzeigt). Aufgrund des Gesamtwertes, der jede bestimmte Datei definiert, wird die Wahrscheinlichkeit von Datei-Infizierung mit einem unbekannten Virus mittels der heuristischen Analyse festgestellt. Wie auch jedes System der Hypothesenprüfung unter Unbestimmtheitsbedingungen kann die heuristische Analyse Fehler der ersten (Nichterkennung der unbekannten Viren) sowie der zweiten Art (Falschmeldung) bringen.

Bei einer beliebigen Prüfung werden die aktuellsten Informationen über bekannte Schadprogramme von Dr.Web Antivirus-Komponenten verwendet. Die Virensignaturen, Infos über ihre Merkmale und Verhaltensmodelle werden sofort aktualisiert, wenn Experten aus dem Virenlabor von Doctor Web neue Bedrohungen entdecken, manchmal kann es mehrmals pro Stunde passieren. Regelmäßige Aktualisierung der Virendatenbanken lässt auch die neuesten Viren entdecken.