Metodi di rilevamento delle minacce

Tutti i prodotti antivirus sviluppati da Doctor Web impiegano un intero set di metodi di rilevamento delle minacce, il che consente di verificare oggetti sospetti con la massima accuratezza.

Analisi basata su firme antivirali

Questo metodo di rilevamento viene impiegato in primo luogo. È basato sulla ricerca di firme antivirali delle minacce già conosciute nel contenuto di un oggetto analizzato. La firma antivirale è una sequenza di byte continua finita, necessaria e sufficiente per identificare univocamente una minaccia. Il contenuto di un oggetto analizzato viene confrontato con i checksum delle firme antivirali, anziché direttamente con le firme antivirali, il che consente di ridurre notevolmente le dimensioni delle registrazioni nei database dei virus, mantenendo allo stesso tempo l'univocità della corrispondenza e quindi la correttezza del rilevamento delle minacce e della cura degli oggetti infetti. Le registrazioni nei database dei virus Dr.Web sono formate in modo tale che tramite una registrazione sia possibile rilevare intere classi o famiglie di minacce.

Origins Tracing

Questa è una tecnologia unica Dr.Web che consente di rilevare le minacce nuove o modificate di cui il comportamento malevolo o i metodi di infezione sono già conosciuti e descritti nei database dei virus. Viene impiegata dopo l'analisi basata su firme antivirali e protegge gli utenti che utilizzano le soluzioni antivirus Dr.Web dalle minacce quale il trojan ransomware Trojan.Encoder.18 (anche conosciuto come "gpcode"). Inoltre, l'impiego della tecnologia Origins Tracing consente di ridurre notevolmente il numero di falsi positivi nell'analisi euristica. Ai nomi delle minacce rilevate tramite Origins Tracing viene aggiunto il postfisso .Origin.

Emulazione dell'esecuzione

Il metodo di emulazione dell'esecuzione del codice software viene utilizzato per rilevare virus polimorfi e cifrati quando la ricerca per checksum delle firme antivirali non può essere impiegata o è notevolmente ostacolata a causa dell'impossibilità di costruire firme affidabili. Il metodo consiste nel simulare l'esecuzione di un codice analizzato tramite un emulatore — un modello software del processore e dell'ambiente di esecuzione dei programmi. L'emulatore utilizza una zona di memoria protetta (buffer di emulazione). Le istruzioni non vengono trasferite alla CPU per l'esecuzione effettiva. Se un codice processato dall'emulatore è infetto, il risultato della sua emulazione sarà il ripristino del codice malevolo originale che può quindi essere analizzato tramite l'analisi basata su firme antivirali.

Analisi euristica

L'analisi euristica si basa su un set di conoscenze euristiche (ipotesi la cui significatività statistica è stata empiricamente confermata) circa le caratteristiche del codice eseguibile malevolo o, al contrario, sicuro. Ogni caratteristica del codice ha un determinato peso (cioè un numero che indica l'importanza e la validità di tale caratteristica). Il peso può essere sia positivo, se la caratteristica indica la presenza di un comportamento malevolo del codice, che negativo, se la caratteristica non è peculiare delle minacce informatiche. Sulla base del peso complessivo attribuito al contenuto di un oggetto, l'analisi euristica calcola la probabilità di presenza in esso di un oggetto malevolo sconosciuto. Se questa probabilità eccede un determinato valore di soglia, l'analisi euristica conclude che l'oggetto analizzato è malevolo.

L'analisi euristica utilizza, inoltre, la tecnologia FLY-CODE — un algoritmo universale per l'estrazione dei file. Questo meccanismo consente di costruire presupposti euristici sulla presenza di oggetti malevoli negli oggetti compressi da programmi di archiviazione (packer), non solo quelli conosciuti dagli sviluppatori del prodotto Dr.Web, ma anche quelli nuovi, non ancora studiati. Nel controllo degli oggetti compressi viene anche utilizzata la tecnologia di analisi della loro entropia strutturale che consente di rilevare minacce sulla base delle caratteristiche della posizione dei tratti del loro codice. Questa tecnologia, tramite una sola registrazione del database dei virus, consente di rilevare una serie di varie minacce che sono state compresse da un uguale packer polimorfo.

Siccome l'analisi euristica è un sistema di verifica delle ipotesi in condizioni di incertezza, essa può commettere errori sia del primo tipo (salta minacce sconosciute) e sia del secondo tipo (riconosce come malevolo un programma innocuo). Pertanto, agli oggetti contrassegnati dall'analisi euristica come "malevoli" viene attribuito lo status "sospetti".

Analisi comportamentale

Dr.Web Process Heuristic

La tecnologia di analisi comportamentale Dr.Web Process Heuristic protegge dai programmi malevoli più recenti e pericolosi che sono capaci di evitare il rilevamento tramite i maccanismi tradizionali di firme antivirali e di analisi euristica.

Dr.Web Process Heuristic analizza il comportamento di ciascun programma in esecuzione, consultando il servizio cloud Dr.Web costantemente aggiornato, e sulla base delle ultime conoscenze sul comportamento dei programmi malevoli, determina se un programma è pericoloso, dopo di che vengono adottate le misure necessarie per neutralizzare la minaccia.

Questa tecnologia di protezione dei dati permette di minimizzare perdite dalle azioni di un virus sconosciuto con il minimo consumo delle risorse del sistema protetto.

Dr.Web Process Heuristic controlla qualsiasi tentativo di modifica al sistema:

•riconosce i processi dei programmi malevoli che modificano in modo indesiderabile i file dell'utente (per esempio, le azioni dei programmi cryptolocker);

•impedisce i tentativi dei programmi malevoli di integrarsi nei processi di altre applicazioni;

•protegge le porzioni critiche del sistema dalle modifiche da parte dei programmi malevoli;

•rileva e termina gli script e i processi malevoli, sospetti o inaffidabili;

•blocca la possibilità di modifica dei settori di avvio del disco da parte dei programmi malevoli per rendere impossibile l'avvio (per esempio, dei bootkit) sul computer;

•previene la disattivazione della modalità provvisoria di Windows bloccando modifiche al registro;

•non permette ai programmi malevoli di modificare le regole di avvio di programmi;

•blocca il caricamento di driver nuovi o sconosciuti all'insaputa dell'utente;

•blocca l'esecuzione automatica di programmi malevoli, nonché di determinate applicazioni, quali gli anti-antivirus, non permettendo che si iscrivano al registro per il successivo avvio automatico;

•blocca i rami del registro responsabili dei driver di dispositivi virtuali, il che rende impossibile l'installazione di programmi trojan sotto le mentite spoglie di un nuovo dispositivo virtuale;

•non permette al software malevolo di compromettere il normale funzionamento dei servizi di sistema.

Dr.Web Process Dumper

L'analisi integrata di minacce pacchettizzate Dr.Web Process Dumper aumenta significativamente il livello di rilevamento delle minacce apparentemente "nuove" — cioè conosciute dal database dei virus Dr.Web, ma nascoste sotto packer nuovi, nonché elimina la necessità di aggiungere al database dei virus sempre nuovi record di minacce. Il mantenimento della compattezza dei database dei virus Dr.Web, a sua volta, non richiede un costante aumento dei requisiti di sistema e assicura le dimensioni tradizionalmente piccole degli aggiornamenti con la qualità di rilevamento e cura tradizionalmente e invariabilmente alta.

Metodo di apprendimento automatico

Viene utilizzato per cercare e neutralizzare oggetti malevoli che ancora non ci sono nei database dei virus. Il vantaggio di questo metodo consiste nel riconoscimento di un codice malevolo senza eseguirlo, solo in base alle sue caratteristiche.

Il rilevamento delle minacce è basato sulla classificazione degli oggetti malevoli secondo determinati segni. Tramite la tecnologia di apprendimento automatico basato sul metodo dei vettori di supporto, frammenti di codice dei linguaggi di scripting vengono classificati e registrati nel database. In seguito gli oggetti di verifica vengono analizzati per conformità ai segni di codice malevolo. La tecnologia di apprendimento automatico automatizza l'aggiornamento della lista di questi segni e l'integrazione dei database dei virus. Grazie alla connessione al servizio cloud, l'elaborazione di grandi quantità di dati avviene più velocemente, mentre l'addestramento continuo del sistema fornisce una protezione preventiva dalle minacce più recenti. La tecnologia può funzionare anche senza connessione costante al cloud.

Il metodo di apprendimento automatico risparmia significativamente le risorse del sistema operativo in quanto non richiede esecuzione di codice per il rilevamento delle minacce, mentre l'addestramento automatico dinamico del classificatore può essere effettuato anche senza un aggiornamento costante dei database dei virus utilizzato nell'analisi basata su firme antivirali.

Tecnologie cloud di rilevamento delle minacce

I metodi di rilevamento cloud consentono di controllare qualsiasi oggetto (file, applicazione, estensione di browser, ecc.) in base alla somma hash. È una sequenza di cifre e lettere univoca di una determinata lunghezza. Nell'analisi in base alla somma hash gli oggetti vengono confrontati con il database esistente e quindi classificati in categorie: pulito, sospetto, malevolo, ecc.

Tale tecnologia ottimizza i tempi di verifica dei file e risparmia risorse del dispositivo. Grazie al fatto che non è l'oggetto stesso che viene analizzato, ma la sua somma hash univoca, la decisione viene presa quasi istantaneamente. In assenza di connessione ai server Dr.Web, i file vengono scansionati localmente, e la verifica cloud viene ripresa al ripristino della connessione.

In questo modo, il servizio cloud dell'azienda Doctor Web raccoglie informazioni da numerosi utenti e aggiorna prontamente i dati sulle minacce precedentemente sconosciute aumentando così l'efficacia della protezione dei dispositivi.