Techniken zur Erkennung von Bedrohungen

Alle Antivirenprodukte von Doctor Web setzen mehrere Methoden zur Erkennung von Bedrohungen ein, wodurch alle verdächtigen Objekte sorgfältig und zuverlässig untersucht werden.

Signaturbasierte Erkennung

Dieses Verfahren wird als Erstes eingesetzt. Bei dem Verfahren wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von deren Prüfsummen abgeglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung dabei ist eindeutig: Bedrohungen werden korrekt erkannt und infizierte Objekte werden desinfiziert. Die Virensignaturen in den Virendatenbanken von Dr.Web werden so präzise erstellt, dass anhand nur einer einzigen Signatur mehrere Klassen oder Familien von Bedrohungen erkannt werden können.

Origins Tracing

Einzigartige Technologie von Dr.Web für die Erkennung neuer oder modifizierter Bedrohungen, die auf bereits bekannten und in den Virendatenbanken beschriebenen Mechanismen oder Verhaltensmustern basieren. Dieses Verfahren wird nach Abschluss der Signaturanalyse durchgeführt und schützt Nutzer einer Antivirenlösung von Dr.Web vor Bedrohungen wie dem Erpresser-Trojaner „Trojan.Encoder.18“ (der auch unter dem Namen „gpcode“ bekannt ist) und anderer Erpressersoftware. Die Technologie Origins Tracing ermöglicht auch, die Anzahl von Fehlauslösungen bei der heuristischen Analyse wesentlich zu reduzieren. Den Namen von Bedrohungen, die mit Origins Tracing erkannt werden, wird die Endung .Origin hinzugefügt.

Emulation

Die Emulation der Ausführung des Programmcodes wird zur Erkennung polymorpher und verschlüsselter Viren eingesetzt, wenn die Suche anhand der Prüfsummen der Signaturen unmöglich oder wegen Mangels an zuverlässigen Signaturen wesentlich komplizierter ist. Das Verfahren basiert auf der virtuellen Ausführung des zu analysierenden Codes durch den Emulator, d. h. ein Simulationsmodell des Prozessors und der Laufzeitumgebung. Der Emulator wird in einer gesicherten Umgebung (Emulationsbuffer) ausgeführt. Dem zentralen Prozessor werden dabei keine Anweisungen übermittelt. Wenn ein durch den Emulator verarbeiteter Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, sodass er mit der signaturbasierten Erkennungsmethode überprüft werden kann.

Heuristische Analyse

Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale eines schädlichen und eines zuverlässigen ausführbaren Codes. Jedes Merkmal hat einen bestimmten Punktwert (die Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmales zeigt). Der Punktwert kann positiv sein, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn seine Eigenschaft nicht schädlich ist. Aufgrund des Gesamtwertes, der den Inhalt des Objekts kennzeichnet, wird mittels der heuristischen Analyse die Wahrscheinlichkeit des Vorhandenseins eines unbekannten schädlichen Objekts ermittelt. Wenn diese Wahrscheinlichkeit einen bestimmten Grenzwert übersteigt, wird davon ausgegangen, dass das analysierte Objekt schädlich ist.

Bei der heuristischen Analyse wird auch die Technologie FLY-CODE verwendet. Das ist ein universaler Algorithmus zum Entpacken archivierter Dateien. Mit dieser auf heuristischen Vermutungen basierenden Technik kann festgestellt werden, ob die mit Packprogrammen komprimierten Dateien schädliche Objekte enthalten. Es handelt sich dabei nicht nur um Packprogramme, die den Software-Entwicklern von Doctor Web bekannt sind, sondern auch um neue Programme, die noch nicht untersucht wurden. Bei jedem Scan eines verpackten Objekts wird auch seine Struktur-Entropie analysiert. Eventuelle Bedrohungen können dabei anhand einiger spezifischer Teile des Codes erkannt werden. Diese Technologie ermöglicht, diverse schädliche Objekte, die mit dem gleichen polymorphen Packer gepackt wurden, anhand nur einer Signatur aufzuspüren.

Da es sich bei der heuristischen Analyse um eine Hypothesenprüfung unter Unbestimmtheitsbedingungen handelt, können Fehler sowohl der ersten (Nichterkennen unbekannter Bedrohungen) als auch der zweiten Art (ein sicheres Programm wird als Schadprogramm eingestuft) auftreten. Aus diesem Grund haben alle heuristisch als „schädlich“ erkannten Objekte den Status „verdächtig“.

Verhaltensanalyse

Dr.Web Process Heuristic

Die verhaltensbasierende Technologie Dr.Web Process Heuristic schützt deinen Mac vor neuen und den gefährlichsten Schadprogrammen, die durch herkömmliche signaturbasierte Methoden und die heuristische Analyse nicht immer aufgespürt werden können.

Dr.Web Process Heuristic analysiert das Verhalten jedes ausgeführten Programms, gleicht es mit den aktuellen Daten in der Dr.Web Cloud ab und nutzt die aktuellen Informationen über die Verhaltensmuster von Schadsoftware, um festzustellen, ob das Programm als schädlich oder als harmlos eingestuft werden muss. Schädliche Programme werden unverzüglich neutralisiert.

Diese Technologie zeichnet sich durch geringen Verbrauch der Rechnerressourcen aus und ermöglicht es, Schaden durch unbekannte Viren zu minimieren.

Dr.Web Process Heuristic überwacht alle manipulativen Zugriffe auf das System:

•erkennt Prozesse von Schadprogrammen (z. B. einiger Verschlüsselungs-Trojaner), die unbefugt Benutzerdateien modifizieren;

•verhindert, dass Schadprogramme ihren schädlichen Code in legitime Prozesse anderer Programme einschleusen;

•schützt kritische Systembereiche vor unbefugten Änderungen durch Schadprogramme;

•erkennt und beendet die Ausführung schädlicher, verdächtiger oder nicht sicherer Skripte und Prozesse;

•schützt den Startbereich der Festplatte vor Änderungen durch Schadprogramme (wie MBR-Rootkits), die sich im MBR verstecken und Startprobleme verursachen können;

•sorgt für die Integrität der Registry und verhindert dadurch die Deaktivierung des abgesicherten Modus von Windows;

•verhindert ungewollte Änderung der Softwareeinschränkungsrichtlinien;

•unterbindet das Laden neuer oder unbekannter Treiber ohne Wissen des Benutzers;

•verhindert, dass Schadprogramme und einige Programme (z. B. Anti-Antiviren-Programmteile) ungefragt sich selbst in die Registry eintragen, um beim Systemstart automatisch zu starten;

•sperrt die Registry-Strukturen für virtuelle Gerätetreiber und verhindert dadurch, dass sich trojanische Programme getarnt als neue virtuelle Geräte installieren;

•verhindert, dass Schadprogramme die Funktion der Systemdienste beeinträchtigen.

Dr.Web Process Dumper

Der Komplexanalysator verpackter Bedrohungen Dr.Web Process Dumper verbessert wesentlich die Erkennung vermeintlich „neuer Bedrohungen“, d. h. Bedrohungen, die zwar in die Dr.Web Virendatenbank bereits aufgenommen sind, doch sich durch neue Packmechanismen verschleiern. Diese Technologie ermöglicht, die Größe der Dr.Web Virendatenbanken gering zu halten, da für gleiche Bedrohungen keine neuen Signaturen hinzugefügt werden müssen. Dadurch werden die treffsichere Erkennung und die wirksame Neutralisierung von Bedrohungen gewährleistet – und all das bei einem schonenden Umgang mit Rechnerressourcen und einer geringen Größe von Updates.

Maschinelles Lernen

Diese nicht signaturbasierte Technik wird dazu eingesetzt, um schädliche Objekte aufzuspüren und neutralisieren, deren Signaturen in den Virendatenbanken noch nicht vorhanden sind. Der Vorteil dieser Erkennungsmethode ist, dass ein schädlicher Code anhand seiner Eigenschaften identifiziert werden kann, ohne dass er ausgeführt werden muss.

Diese Erkennungstechnik basiert auf der Einteilung von schädlichen Objekten anhand kennzeichnender Merkmale. Die auf Support Vector Machines basierte Technologie des maschinellen Lernens ermöglicht, Codefragmente von Skriptsprachen zu klassifizieren und sie in eine Datenbank aufzunehmen. Die vom Antivirenprogramm überprüften Objekte werden dann analysiert, um Übereinstimmungen mit den Merkmalen eines schädlichen Codes zu finden. Die Technologie des maschinellen Lernens automatisiert die Aktualisierung der Liste solcher Merkmale und der Virendatenbanken. Dank Anbindung an die Cloud-Dienste werden große Datenmengen schneller verarbeitet, und der kontinuierliche Lernprozess sorgt für den präventiven Schutz vor neuen Bedrohungen. Die Technologie kann auch ohne Zugriff auf die Cloud genutzt werden.

Die Technologie des maschinellen Lernens schont die Rechnerressourcen und erfordert keine Code-Ausführung, um die Bedrohung zu erkennen. Das dynamische maschinelle Lernen des Klassifikators kann auch ohne regelmäßige Updates der Virendatenbanken erfolgen.

Cloudbasierte Erkennung von Bedrohungen

Die cloudbasierte Erkennung ermöglicht, ein beliebiges Objekt (Datei, Anwendung, Webbrowser-Erweiterung) anhand seines Hashwerts zu überprüfen. Der Hashwert ist eine eindeutige Folge aus Zahlen und Buchstaben mit fester Länge. Bei diesem Verfahren werden Objekte anhand von Hashwerten in speziellen Datenbanken überprüft und dann in bestimmte Kategorien eingeteilt: harmlose Objekte, verdächtige Objekte, schädliche Objekte usw.

Diese Technologie optimiert die Scandauer und reduziert die Auslastung der Systemressourcen. Da bei diesem Verfahren nicht das gesamte Objekt, sondern sein Hashwert analysiert wird, wird die Entscheidung fast augenblicklich getroffen. Wenn keine Verbindung mit den Dr.Web Servern besteht, werden die Dateien lokal überprüft. Wenn die Cloud wieder verfügbar ist, werden die Daten in die Cloud übertragen, um dort verarbeitet zu werden.

Der cloudbasierte Service von Doctor Web sammelt anonymisiert die neuesten Bedrohungsinformationen von vielen Benutzern und aktualisiert umgehend die Datenbanken, sodass das Programm unverzüglich die aktuellen Informationen über bisher unbekannte Bedrohungen erhält und noch wirksamer schützen kann.