Métodos de detección de amenazas

Todos los productos antivirus desarrollados por la compañía Doctor Web aplican un conjunto de métodos de detección de amenazas, lo que permite verificar los objetos sospechosos con máximo detalle.

Análisis por firma

Este método de detección es el primero que se aplica. Se basa en la búsqueda de firmas de virus ya conocidos en el contenido del objeto analizado. Se llama firma a la secuencia final e ininterrumpida de bytes necesaria y suficiente para identificar con seguridad una amenaza. La comparación del contenido del objeto analizado con las firmas se realiza no directamente, sino por sus sumas de control, lo que permite reducir sustancialmente el tamaño de los registros en las bases de virus sin menoscabar la certeza de la correspondencia y, por tanto, la corrección en la detección de amenazas y en la curación de los objetos infectados. Los registros en las bases de virus Dr.Web están elaborados de tal modo que gracias a un mismo registro es posible detectar clases enteras o familias de amenazas.

Origins Tracing

Es una tecnología única de Dr.Web que permite detectar amenazas nuevas y modificadas que utilizan mecanismos de contagio o comportamiento malicioso ya conocidos y descritos en las bases de virus. Se realiza al finalizar el análisis por firma y garantiza la protección de los usuarios de las soluciones antivirus Dr.Web contra amenazas tales como el programa troyano de extorsión Trojan.Encoder.18 (también conocido como «gpcode»). Además, el uso de la tecnología Origins Tracing permite reducir significativamente la cantidad de falsas alarmas del analizador heurístico. A los nombres de las amenazas detectadas con Origins Tracing se les añade el posfijo .Origin.

Emulación de ejecución

El método de emulación de ejecución del código del programa se utiliza para detectar virus polimórficos y encriptados en aquellos casos en los que la búsqueda por sumas de control de firmas no puede realizarse o es extremadamente dificultosa debido a la imposibilidad de extraer una firma confiable de la muestra. El método consiste en imitar la ejecución del código analizado con la ayuda de un emulador, un modelo del software del procesador y del medio de ejecución de los programas. El emulador opera con un área protegida de la memoria (búfer de emulación), de modo que las instrucciones no se transmiten al procesador central para su ejecución real. Si el código procesado por el emulador está infectado, el resultado de su emulación será el restablecimiento del código malicioso original accesible al análisis por firma.

Análisis heurístico

El funcionamiento del analizador heurístico se apoya en un conjunto de métodos heurísticos (suposiciones cuya relevancia estadística está confirmada por la experiencia) que permiten identificar rasgos característicos de un código malicioso y, a la inversa, de un código seguro. Cada rasgo del código tiene un determinado peso (es decir, un número que muestra la relevancia y certidumbre de ese rasgo). El peso puede ser positivo si el rasgo indica la presencia de un comportamiento malicioso del código o negativo si el rasgo no corresponde a amenazas informáticas. Sobre la base del peso sumado que caracteriza el contenido del objeto, el analizador heurístico calcula la probabilidad de que este contenga un objeto malicioso desconocido. Si esta probabilidad supera cierto valor de umbral, se concluye que el objeto analizado es malicioso.

El analizador heurístico también utiliza la tecnología FLY-CODE, un algoritmo universal de extracción de archivos. Este mecanismo permite elaborar suposiciones heurísticas respecto a la presencia de objetos maliciosos entre aquellos comprimidos por los programas de compresión, no solo por aquellos programas ya conocidos por los desarrolladores del producto Dr.Web, sino también por programas nuevos no investigados hasta la fecha. Durante la verificación de los objetos comprimidos se analiza también su entropía estructural, lo que permite detectar amenazas según las particularidades de ubicación de partes de su código. Esta tecnología permite, sobre la base de un solo registro de la base de virus, detectar un conjunto de diversas amenazas comprimidas por un mismo compresor polimórfico.

Dado que el analizador heurístico es un sistema de verificación de hipótesis en condiciones de incertidumbre, puede cometer errores de tipo uno (dejar pasar amenazas desconocidas) como de tipo dos (identificar como malicioso un programa seguro). Por eso a los objetos que el analizador heurístico marca como «maliciosos» se les adjudica el estado de «sospechosos».

Análisis de comportamiento

Dr.Web Process Heuristic

La tecnología de análisis de comportamiento Dr.Web Process Heuristic protege contra los programas maliciosos más recientes y peligrosos que pueden evitar la detección mediante la firma tradicional y los mecanismos heurísticos.

Dr.Web Process Heuristic analiza el comportamiento de cada programa en ejecución, verificando el servicio en la nube Dr.Web constantemente actualizado, y basándose en el conocimiento actual de cómo se comportan los programas maliciosos, concluye que es peligroso y luego toma las medidas necesarias para neutralizar la amenaza.

Esta tecnología de protección de datos le permite minimizar las pérdidas por las acciones de un virus desconocido, con un consumo mínimo de recursos del sistema protegido.

Dr.Web Process Heuristic monitorea cualquier intento de cambiar el sistema:

•reconoce procesos de programas maliciosos que modifican archivos de usuario de forma no deseada (por ejemplo, acciones de ransomware troyano);

•evita los intentos de programas maliciosos de infiltrarse en los procesos de otras aplicaciones;

•protege secciones críticas del sistema de modificaciones por programas maliciosos;

•identifica y detiene scripts y procesos maliciosos, sospechosos o no confiables;

•bloquea la capacidad del malware para modificar las áreas de arranque del disco para que no se pueda ejecutar (por ejemplo, bootkits) en la computadora;

•evita la desactivación del modo seguro de Windows bloqueando los cambios en el registro;

•evita que los programas maliciosos cambien las reglas de ejecución de aplicaciones;

•suprime las descargas de controladores nuevos o desconocidos sin el conocimiento del usuario;

•bloquea el inicio automático de programas maliciosos, así como de determinadas aplicaciones, por ejemplo, anti-antivirus, impidiendo que se registren en el registro para su posterior ejecución;

•bloquea las ramas del registro que son responsables de los controladores de dispositivos virtuales, lo que imposibilita la instalación de troyanos bajo la apariencia de un nuevo dispositivo virtual;

•evita que el malware interrumpa el funcionamiento normal de los servicios del sistema.

Dr.Web Process Dumper

El complejo analizador de amenazas empaquetadas Dr.Web Process Dumper aumenta significativamente el nivel de detección de supuestas "nuevas amenazas", conocidas por la base de virus Dr.Web, pero ocultas bajo nuevos empaquetadores, y también elimina la necesidad de agregar más y más entradas sobre amenazas a las bases de datos. Mantener compactas las bases de virus Dr.Web, a su vez, no requiere un aumento constante de los requisitos del sistema y garantiza el tamaño tradicionalmente pequeño de las actualizaciones, con una alta calidad de detección y tratamiento tradicionalmente constante.

Método de aprendizaje automático

Se utiliza para buscar y neutralizar objetos maliciosos que aún no se encuentran en las bases de datos de virus. La ventaja de este método es el reconocimiento de código malicioso sin ejecución, basándose únicamente en sus características.

La detección de amenazas se basa en la clasificación de objetos maliciosos de acuerdo con ciertos criterios. Con la ayuda de la tecnología de aprendizaje automático basada en la máquina de vectores de soporte, los fragmentos de código del lenguaje de secuencias de comandos se clasifican y escriben en la base de datos. Luego, los objetos escaneados se analizan en función de su conformidad con las características del código malicioso. La tecnología de aprendizaje automático automatiza la actualización de la lista de datos de rasgos y la reposición de las bases de datos de virus. Al conectarse a un servicio en la nube, el procesamiento de grandes cantidades de datos es más rápido y el entrenamiento continuo del sistema brinda protección proactiva contra las últimas amenazas. Al mismo tiempo, la tecnología puede funcionar sin un acceso constante a la nube.

El método de aprendizaje automático ahorra significativamente los recursos del sistema operativo, ya que no requiere la ejecución de código para detectar amenazas, y el aprendizaje automático dinámico del clasificador se puede realizar sin actualización constante de las bases de datos de virus, que se utiliza en el análisis de firmas.

Tecnologías de detección de amenazas en la nube

Los métodos de detección de nubes le permiten verificar cualquier objeto (archivo, aplicación, extensión del navegador, etc.) por suma hash. Es una secuencia única de números y letras de una longitud determinada. Cuando se analizan por suma hash, los objetos se escanean en una base de datos existente y luego se clasifican en categorías: limpios, sospechosos, maliciosos, etc.

Esta tecnología optimiza el tiempo de escaneo de archivos y ahorra recursos del dispositivo. Debido al hecho de que no se analiza el objeto en sí, sino su suma hash única, la decisión se toma casi al instante. Si no hay conexión con los servidores Dr.Web, los archivos se escanean localmente y el escaneo en la nube se reanuda cuando se restablece la conexión.

Por lo tanto, el servicio en la nube de Doctor Web recopila información de numerosos usuarios y actualiza rápidamente los datos sobre amenazas previamente desconocidas, lo que aumenta la eficiencia de la protección de los dispositivos.