Méthodes de détection des menaces

Tous les produits antivirus créés par Doctor Web utilisent l’ensemble de méthodes de détection de menaces, ce qui permet d’analyser les objets suspects de manière approfondie.

Analyse par signatures

Cette méthode de détection est appliquée en première. Elle est basée sur la recherche des signatures des menaces connues dans le contenu de l’objet analysé. Une signature est une séquence continue et finie d’octets qui est nécessaire et suffisante pour identifier une menace. Pour réduire la taille de la base de signatures, les solutions antivirus Dr.Web utilisent des sommes de contrôle de signatures au lieu de séquences complètes de signatures. Les sommes de contrôle identifient les signatures de manière unique, ce qui garantit l’exactitude de la détection de virus et leur neutralisation. Les bases de données virales Dr.Web sont faites de telle sorte que certaines entrées peuvent être utilisées pour détecter non seulement un virus, mais des classes entières ou des familles de menaces.

Origins Tracing

C’est un algorithme unique de Dr.Web permettant de détecter un comportement malveillant et de nouvelles menaces, ainsi que des menaces modifiées utilisant des mécanismes connus et décrits dans les bases virales. Cette technologie intervient à la fin de la recherche par signatures et assure la protection des utilisateurs utilisant les solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom « gpcode »). En outre, l’utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l’analyseur heuristique. Le postfix .Origin est ajouté aux noms des menaces détectées à l’aide de la technologie Origins Tracing.

Émulation d’exécution

La méthode d’émulation du code logiciel est utilisée pour la détection des virus polymorphes et chiffrés, lorsque l’utilisation de l’analyse par signatures est impossible ou bien, elle devient compliquée, car la création de signatures fiables devient impossible. La méthode consiste en une imitation du code, analysé à l’aide de l’émulateur (logiciel qui reproduit le modèle du processeur et de l’environnement d’exécution de programmes). L’émulateur opère avec la partie protégée de la mémoire (tampon d’émulation). Les instructions ne sont alors pas transmises au processeur central pour leur réelle exécution. Si le code traité par l’émulateur est infecté par un virus, le corps de virus sera déchiffré. Ensuite, ce corps de virus sera détecté sans problèmes par la méthode de l’analyse par signatures.

Analyse heuristique

Le fonctionnement de l’analyseur heuristique est fondé sur un ensemble d’heuristiques (hypothèses, dont la signification statistique est confirmée par l’expérience) des signes caractéristiques de logiciels malveillants et, inversement, le code exécutable sécurisé. Chaque attribut ou caractéristique du code possède un score (le nombre indiquant l’importance et la validité de cette caractéristique). Le score peut être positif si l’attribut indique la présence d’un comportement de code malveillant, et négatif si l’attribut ne correspond pas à une menace informatique. En fonction du score total du contenu du fichier, l’analyseur heuristique calcule la probabilité de la présence d’un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l’objet analysé est considéré comme malveillant.

L’analyseur heuristique utilise également la technologie FLY-CODE – un algorithme universel pour l’extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d’objets malveillants dans les objets compressés par des outils de compression (packers), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de l’analyse des objets emballés, une technologie d’analyse de leur entropie structurelle est également utilisée, cette technologie permet de détecter les menaces grâce aux spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base virale de détecter un ensemble de différents types de menaces qui sont emballées par le même packer polymorphe.

Comme tout système basé sur des hypothèses, l’analyseur heuristique peut commettre des erreurs de type I (omettre une menace inconnue) ou II (faire un faux positif). Par conséquent, les objets marqués par l’analyseur heuristique comme « malveillants » reçoivent le statut « suspects ».

Analyse de comportement

Dr.Web Process Heuristic

La technologie de l’analyse de comportement Dr.Web Process Heuristic protège contre les nouveaux programmes les plus dangereux qui sont capables d’éviter la détection par les moyens traditionnels : le mécanisme de signatures et le mécanisme heuristique.

Dr.Web Process Heuristic analyse le comportement de chaque programme lancé en consultant le service cloud Dr.Web qui est mis à jour constamment. Dr.Web Process Heuristic se base sur les connaissances actuelles sur le comportement des programmes malveillants, il évalue le niveau de danger et prend les mesures nécessaires afin de neutraliser la menace.

Cette technologie permet de minimiser les pertes dues à l’action d’un virus inconnu — en cas de consommation minimum des ressources du système à protéger.

Dr.Web Process Heuristic contrôle toutes les tentatives de modifier le système :

•il identifie les processus de logiciels malveillants qui modifient des fichiers utilisateur d’une manière indésirable (par exemple, les tentatives de chiffrements de la part des Trojans-encodeurs) ;

•il empêche les tentatives de logiciels malveillants de s’infiltrer dans des processus d’autres applications ;

•il protège les zones critiques du système contre les modifications par les logiciels malveillants ;

•il détecte et arrête des scripts et des processus malveillants, suspects et peu fiables ;

•il bloque la possibilité de modifier les zones d’amorçage du disque par les logiciels malveillants afin d’éviter le lancement (par exemple, d’un bootkit) sur l’ordinateur ;

•il prévient la désactivation du mode sécurisé Windows en bloquant les modification du registre ;

•il n’autorise pas aux logiciels malveillants de modifier les règles de lancement de programmes ;

•il bloque les téléchargements de nouveaux pilotes ou de pilotes inconnus qui sont lancés sans avertissement de l’utilisateur ;

• il bloque l’autodémarrage de logiciels malveillants et des applications particulières, par exemple des anti-antivirus en les empêchant de s’enregistrer dans le registre pour un lancement ultérieur ;

•il bloque les branches du registre qui sont responsables des pilotes des dispositifs virtuels ce qui rend impossible l’installation d’un cheval de Troie sous forme d’un nouveau dispositif virtuel ;

•il ne permet pas au logiciel malveillant de perturber le fonctionnement normal des services système.

Dr.Web Process Dumper

L’analyseur complexe des menaces compressées Dr.Web Process Dumper augmente considérablement le niveau de détection des menaces supposées « nouvelles » (ce sont des menaces connues dans la base virale de Dr.Web, mais elle sont masquées sous de nouveaux packers) et exclut la nécessité d’ajouter dans les bases de nouvelles entrées portant sur les menaces. Vu que les bases virales Dr.Web gardent leur taille réduite, les pré-requis système n’augmentent pas et les mises à jour restent légères pendant que la détection et la désinfection de menaces est de haut niveau.

Méthode de l’apprentissage machine

Elle est utilisée pour rechercher et neutraliser les objets malveillant qui ne sont pas encore inclus dans les bases virales. L’avantage de cette méthode est que le code malveillant est détecté en fonction de ses caractéristiques, sans être exécuté.

La détection de menaces est basée sur la classification des objets malveillants par les caractéristiques particulières. La technologie de l’apprentissage machine est basée sur les machines à vecteurs de support et elle permet d’effectuer la classification et l’enregistrement des fragments du code de langages de script dans la base. Ensuite, les objets détectés sont analysés pour leur conformité aux caractéristiques du code malveillant. La technologie de l’apprentissage machine met à jour automatiquement la liste des caractéristiques et les bases virales. Grâce à la connexion au service cloud, de grands volumes de données sont traités plus vite et l’apprentissage constant du système assure la protection préventive contre les menaces les plus récentes. De plus, la technologie peut fonctionner sans une connexion permanente au cloud.

La méthode de l’apprentissage machine économise les ressources du système d’exploitation car elle ne nécessite pas l’exécution du code pour détecter des menaces et l’apprentissage machine dynamique peut s’effectuer sans la mise à jour permanente de bases virales comme c’est le cas de l’analyse de signatures.

Technologies cloud de détection de menaces

Les méthodes cloud de détection permettent d’analyser n’importe quel objet (fichier, application, extension pour le navigateur, etc.) par la somme de contrôle. La somme de contrôle est une séquence de lettres et chiffres de la longueur spécifiée. Lors de l’analyse par la somme de contrôle les objets sont analysés dans la base existante et puis, ils sont classés en catégories : sains, suspects, malveillants, etc.

Une telle technologie réduit le temps de l’analyse des fichiers et économise les ressources de l’appareil. Vu que c’est la somme de contrôle unique qui est analysée et non pas l’objet, la décision est prise tout de suite. S’il n’y a pas de connexion aux serveurs Dr.Web, les fichiers sont analysés de manière locale et l’analyse cloud est reprise après la restauration de la connexion.

Ainsi, le service cloud de la société Doctor Web collecte les informations de multiples utilisateurs et met à jour rapidement les données sur les menaces inconnues auparavant ce qui augmente l’efficacité de la protection d’appareils.