Metodi di rilevamento

Metodi di rilevamento delle minacce

Tutti i prodotti antivirus sviluppati da Doctor Web impiegano un intero set di metodi di rilevamento delle minacce, il che consente di verificare oggetti sospetti con la massima accuratezza.

Analisi basata su firme antivirali

Questo metodo di rilevamento viene impiegato in primo luogo. È basato sulla ricerca di firme antivirali delle minacce già conosciute nel contenuto di un oggetto analizzato. La firma antivirale è una sequenza di byte continua finita, necessaria e sufficiente per identificare univocamente una minaccia. Il contenuto di un oggetto analizzato viene confrontato con i checksum delle firme antivirali, anziché direttamente con le firme antivirali, il che consente di ridurre notevolmente le dimensioni delle registrazioni nei database dei virus, mantenendo allo stesso tempo l'univocità della corrispondenza e quindi la correttezza del rilevamento delle minacce e della cura degli oggetti infetti. Le registrazioni nei database dei virus Dr.Web sono formate in modo tale che tramite una registrazione sia possibile rilevare intere classi o famiglie di minacce.

Origins Tracing

Questa è una tecnologia unica Dr.Web che consente di rilevare le minacce nuove o modificate di cui il comportamento malevolo o i metodi di infezione sono già conosciuti e descritti nei database dei virus. Viene impiegata dopo l'analisi basata su firme antivirali e protegge gli utenti che utilizzano le soluzioni antivirus Dr.Web dalle minacce quale il trojan ransomware Trojan.Encoder.18 (anche conosciuto come "gpcode"). Inoltre, l'impiego della tecnologia Origins Tracing consente di ridurre notevolmente il numero di falsi positivi nell'analisi euristica. Ai nomi delle minacce rilevate tramite Origins Tracing viene aggiunto il postfisso .Origin.

Emulazione dell'esecuzione

Il metodo di emulazione dell'esecuzione del codice software viene utilizzato per rilevare virus polimorfi e cifrati quando la ricerca per checksum delle firme antivirali non può essere impiegata o è notevolmente ostacolata a causa dell'impossibilità di costruire firme affidabili. Il metodo consiste nel simulare l'esecuzione di un codice analizzato tramite un emulatore — un modello software del processore e dell'ambiente di esecuzione dei programmi. L'emulatore utilizza una zona di memoria protetta (buffer di emulazione). Le istruzioni non vengono trasferite alla CPU per l'esecuzione effettiva. Se un codice processato dall'emulatore è infetto, il risultato della sua emulazione sarà il ripristino del codice malevolo originale che può quindi essere analizzato tramite l'analisi basata su firme antivirali.

Analisi euristica

L'analisi euristica si basa su un set di conoscenze euristiche (ipotesi la cui significatività statistica è stata empiricamente confermata) circa le caratteristiche del codice eseguibile malevolo o, al contrario, sicuro. Ogni caratteristica del codice ha un determinato peso (cioè un numero che indica l'importanza e la validità di tale caratteristica). Il peso può essere sia positivo, se la caratteristica indica la presenza di un comportamento malevolo del codice, che negativo, se la caratteristica non è peculiare delle minacce informatiche. Sulla base del peso complessivo attribuito al contenuto di un oggetto, l'analisi euristica calcola la probabilità di presenza in esso di un oggetto malevolo sconosciuto. Se questa probabilità eccede un determinato valore di soglia, l'analisi euristica conclude che l'oggetto analizzato è malevolo.

L'analisi euristica utilizza, inoltre, la tecnologia FLY-CODE — un algoritmo universale per l'estrazione dei file. Questo meccanismo consente di costruire presupposti euristici sulla presenza di oggetti malevoli negli oggetti compressi da programmi di archiviazione (packer), non solo quelli conosciuti dagli sviluppatori del prodotto Dr.Web, ma anche quelli nuovi, non ancora studiati. Nel controllo degli oggetti compressi viene anche utilizzata la tecnologia di analisi della loro entropia strutturale che consente di rilevare minacce sulla base delle caratteristiche della posizione dei tratti del loro codice. Questa tecnologia, tramite una sola registrazione del database dei virus, consente di rilevare una serie di varie minacce che sono state compresse da un uguale packer polimorfo.

Siccome l'analisi euristica è un sistema di verifica delle ipotesi in condizioni di incertezza, essa può commettere errori sia del primo tipo (salta minacce sconosciute) e sia del secondo tipo (riconosce come malevolo un programma innocuo). Pertanto, agli oggetti contrassegnati dall'analisi euristica come "malevoli" viene attribuito lo status "sospetti".

Metodo di apprendimento automatico

Viene utilizzato per cercare e neutralizzare oggetti malevoli che ancora non ci sono nei database dei virus. Il vantaggio di questo metodo consiste nel riconoscimento di un codice malevolo senza eseguirlo, solo in base alle sue caratteristiche.

Il rilevamento delle minacce è basato sulla classificazione degli oggetti malevoli secondo determinati segni. Tramite la tecnologia di apprendimento automatico basato sul metodo dei vettori di supporto, frammenti di codice dei linguaggi di scripting vengono classificati e registrati nel database. In seguito gli oggetti di verifica vengono analizzati per conformità ai segni di codice malevolo. La tecnologia di apprendimento automatico automatizza l'aggiornamento della lista di questi segni e l'integrazione dei database dei virus. Grazie alla connessione al servizio cloud, l'elaborazione di grandi quantità di dati avviene più velocemente, mentre l'addestramento continuo del sistema fornisce una protezione preventiva dalle minacce più recenti. La tecnologia può funzionare anche senza connessione costante al cloud.

Il metodo di apprendimento automatico risparmia significativamente le risorse del sistema operativo in quanto non richiede esecuzione di codice per il rilevamento delle minacce, mentre l'addestramento automatico dinamico del classificatore può essere effettuato anche senza un aggiornamento costante dei database dei virus utilizzato nell'analisi basata su firme antivirali.

Tecnologie cloud di rilevamento delle minacce

I metodi di rilevamento cloud consentono di controllare qualsiasi oggetto (file, applicazione, estensione di browser, ecc.) in base alla somma hash. È una sequenza di cifre e lettere univoca di una determinata lunghezza. Nell'analisi in base alla somma hash gli oggetti vengono confrontati con il database esistente e quindi classificati in categorie: pulito, sospetto, malevolo, ecc.

Tale tecnologia ottimizza i tempi di verifica dei file e risparmia risorse del dispositivo. Grazie al fatto che non è l'oggetto stesso che viene analizzato, ma la sua somma hash univoca, la decisione viene presa quasi istantaneamente. In assenza di connessione ai server Dr.Web, i file vengono scansionati localmente, e la verifica cloud viene ripresa al ripristino della connessione.

In questo modo, il servizio cloud dell'azienda Doctor Web raccoglie informazioni da numerosi utenti e aggiorna prontamente i dati su minacce precedentemente sconosciute aumentando così l'efficacia della protezione dei dispositivi.