Annexe C. Méthodes de détection des virus

Tous les composants antivirus Dr.Web utilisent en même temps plusieurs méthodes de détection des objets malveillants ce qui permet de vérifier de manière approfondie les fichiers suspects et de contrôler le comportement des programmes :

1.En premier lieu, l'analyse de signature est effectuée. Elle consiste à analyser le code des fichiers suspects afin de dépister des correspondances aux signatures des virus connus (la signature présente une séquence continue et finie de bytes qui est nécessaire et suffisante pour dépister un virus). La comparaison se fait selon le total de contrôle des signatures, ce qui permet de minimiser la taille des entrées dans les bases virales tout en gardant lune correspondance univoque et en assurant ainsi la validité de détection et l'efficacité de réparation des fichiers infectés. Les bases virales Dr.Web sont organisées de sorte qu'une seule entrée permette de détecter des classes entières de menaces.

2.A la fin de l'analyse de signature, la technologie unique Origins Tracing™ est appliquée. Cette technologie permet de détecter de nouveaux virus et des virus modifiés utilisant des mécanismes connus de contamination des fichiers. Par exemple la technologie protège les utilisateurs des solutions antivirus Dr.Web contre des virus comme le Trojan.Encoder.18 (connu aussi sous le nom gpcode). De plus, la technologie Origins Tracing permet de minimiser considérablement le taux de fausses alertes du moteur heuristique.

3.Le fonctionnement du moteur heuristique est basé sur certaines connaissances (heuristiques) sur les critères caractéristiques du code viral et relatives au code sain. Chaque critère a un score (un nombre correspondant à la gravité et à la validité du critère). Compte tenu du score total calculé pour chaque fichier, le moteur heuristique détermine une probabilité de contamination du fichier par un virus inconnu. Comme tout système de validation des hypothèses, le moteur heuristique peut commettre des erreurs de premier ordre (non détection des virus inconnus) et de deuxième ordre (fausse alerte).

Lors de tout type d'analyse, les compostants de l'antivirus Dr.Web utilisent les informations les plus récentes sur les programmes malveillants. Les signatures des virus, les informations sur leurs signes et modes de comportement sont mises à jour dès que les spécialistes du Laboratoire antivirus Doctor Web détectent de nouvelles menaces. La fréquence des mises à jour peut atteindre plusieurs fois par heure. Ainsi, la mise à jour automatisée et régulière des bases virales permet de détecter même des virus tout récents.