Métodos de detección de amenazas

Todos los productos antivirus desarrollados por la compañía Doctor Web aplican un conjunto de métodos de detección de amenazas, lo que permite escanear los objetos sospechosos con máximo detalle.

Análisis por firma

Este método de detección es el primero que se aplica. Se basa en la búsqueda de firmas de virus ya conocidos en el contenido del objeto analizado. Se llama firma a la secuencia final e ininterrumpida de bytes necesaria y suficiente para identificar con seguridad una amenaza. La comparación del contenido del objeto analizado con las firmas se realiza no directamente, sino por sus sumas de control, lo que permite reducir sustancialmente el tamaño de los registros en las bases de virus sin menoscabar la certeza de la correspondencia y, por tanto, la corrección en la detección de amenazas y en la curación de los objetos infectados. Los registros en las bases de virus Dr.Web están elaborados de tal modo que gracias a un mismo registro es posible detectar clases enteras o familias de amenazas.

Origins Tracing

Es una tecnología única de Dr.Web que permite detectar amenazas nuevas y modificadas que utilizan mecanismos de contagio o comportamiento malicioso ya conocidos y descritos en las bases de virus. Se realiza al finalizar el análisis por firma y garantiza la protección de los usuarios de las soluciones antivirus Dr.Web contra amenazas tales como el programa troyano de extorsión Trojan.Encoder.18 (también conocido como «gpcode»). Además, el uso de la tecnología Origins Tracing permite reducir significativamente la cantidad de falsas alarmas del analizador heurístico. A los nombres de las amenazas detectadas con Origins Tracing se les añade el posfijo .Origin.

Emulación de ejecución

El método de emulación de ejecución del código del programa se utiliza para detectar virus polimórficos y encriptados en aquellos casos en los que la búsqueda por sumas de control de firmas no puede realizarse o es extremadamente dificultosa debido a la imposibilidad de extraer una firma confiable de la muestra. El método consiste en imitar la ejecución del código analizado con la ayuda de un emulador, un modelo del software del procesador y del medio de ejecución de los programas. El emulador opera con un área protegida de la memoria (búfer de emulación), de modo que las instrucciones no se transmiten al procesador central para su ejecución real. Si el código procesado por el emulador está infectado, el resultado de su emulación será el restablecimiento del código malicioso original accesible al análisis por firma.

Análisis heurístico

El funcionamiento del analizador heurístico se apoya en un conjunto de métodos heurísticos (suposiciones cuya relevancia estadística está confirmada por la experiencia) que permiten identificar rasgos característicos de un código malicioso y, a la inversa, de un código seguro. Cada rasgo del código tiene un determinado peso (es decir, un número que muestra la relevancia y certidumbre de ese rasgo). El peso puede ser positivo si el rasgo indica la presencia de un comportamiento malicioso del código o negativo si el rasgo no corresponde a amenazas informáticas. Sobre la base del peso sumado que caracteriza el contenido del objeto, el analizador heurístico calcula la probabilidad de que este contenga un objeto malicioso desconocido. Si esta probabilidad supera cierto valor de umbral, se concluye que el objeto analizado es malicioso.

El analizador heurístico también utiliza la tecnología FLY-CODE, un algoritmo universal de extracción de archivos. Este mecanismo permite elaborar suposiciones heurísticas respecto a la presencia de objetos maliciosos entre aquellos comprimidos por los programas de compresión, no solo por aquellos programas ya conocidos por los desarrolladores del producto Dr.Web, sino también por programas nuevos no investigados hasta la fecha. Durante el escaneo de los objetos comprimidos se analiza también su entropía estructural, lo que permite detectar amenazas según las particularidades de ubicación de partes de su código. Esta tecnología permite, sobre la base de un solo registro de la base de virus, detectar un conjunto de diversas amenazas comprimidas por un mismo compresor polimórfico.

Dado que el analizador heurístico es un sistema de verificación de hipótesis en condiciones de incertidumbre, puede cometer errores de tipo uno (dejar pasar amenazas desconocidas) como de tipo dos (identificar como malicioso un programa seguro). Por eso a los objetos que el analizador heurístico marca como «maliciosos» se les adjudica el estado de «sospechosos».

Método de aprendizaje automático

Se utiliza para buscar y neutralizar objetos maliciosos que aún no se encuentran en las bases de virus. La ventaja de este método es el reconocimiento de código malicioso sin ejecución, basándose únicamente en sus características.

La detección de amenazas se basa en la clasificación de objetos maliciosos de acuerdo con ciertos criterios. Con la ayuda de la tecnología de aprendizaje automático basada en la máquina de vectores de soporte, los fragmentos de código del lenguaje de secuencias de comandos se clasifican y escriben en la base de datos. Luego, los objetos escaneados se analizan en función de su conformidad con las características del código malicioso. La tecnología de aprendizaje automático automatiza la actualización de la lista de datos de rasgos y la reposición de las bases de virus. Al conectarse a un servicio en la nube, el procesamiento de grandes cantidades de datos es más rápido y el entrenamiento continuo del sistema brinda protección proactiva contra las últimas amenazas. Al mismo tiempo, la tecnología puede funcionar sin un acceso constante a la nube.

El método de aprendizaje automático ahorra significativamente los recursos del sistema operativo, ya que no requiere la ejecución de código para detectar amenazas, y el aprendizaje automático dinámico del clasificador se puede realizar sin actualización constante de las bases de virus, que se utiliza en el análisis de firmas.

Tecnologías de detección de amenazas en la nube

Los métodos de detección de nubes le permiten escanear cualquier objeto (archivo, aplicación, extensión del navegador, etc.) por suma hash. Es una secuencia única de números y letras de una longitud determinada. Cuando se analizan por suma hash, los objetos se escanean en una base de datos existente y luego se clasifican en categorías: limpios, sospechosos, maliciosos, etc.

Esta tecnología optimiza el tiempo de escaneo de archivos y ahorra recursos del dispositivo. Debido al hecho de que no se analiza el objeto en sí, sino su suma hash única, la decisión se toma casi al instante. Si no hay conexión con los servidores Dr.Web, los archivos se escanean localmente y el escaneo en la nube se reanuda cuando se restablece la conexión.

Por lo tanto, el servicio en la nube de Doctor Web recopila información de numerosos usuarios y actualiza rápidamente los datos sobre amenazas previamente desconocidas, lo que aumenta la eficiencia de la protección de los dispositivos.