Annexe B. Méthodes de dépistage

Il existe plusieurs méthodes de détection et de suppression des menaces informatiques. Elles sont réunies dans les produits Doctor Web qui sont dotés d'une configuration facile et flexible, ce qui assure une protection solide des ordinateurs et des réseaux.

Méthodes de dépistage

Recherche par empreinte de signatures

Cette méthode est une variante de l'analyse par signatures. Il est basé sur la recherche des signatures des menaces connues dans le contenu de l’objet analysé.La signature est une séquence continue d'octets, qui est unique en son genre, et, grâce à laquelle il est possible de dépister une menace informatique. La méthode de recherche par empreinte de signatures utilise des empreintes de signatures au lieu d'utiliser les séquences de signatures complètes. La comparaison des empreintes de signatures, qui identifient de manière unique les signatures, permet de préserver l'exactitude de la détection et de la neutralisation des virus, tout en réduisant la taille de la base virale. Les entrées dans les bases virales Dr.Web sont rédigées de sorte que la même entrée peut détecter des classes entières ou des familles de menaces.

Origins Tracing™

Origins Tracing est un algorithme unique, sans signatures, développé par les spécialistes de Doctor Web permettant de détecter les menaces et qui est utilisé seulement dans les produits Dr.Web. Cette technologie intervient à la fin de la recherche par empreintes de signatures et assure une protection des utilisateurs utilisant des solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom « gpcode »). En outre, l'utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l'analyseur heuristique. Un postfix .Origin est ajouté aux noms des menaces détectées à l'aide de la technologie Origins Tracing.

Émulation d'exécution

La méthode d'émulation du code logiciel est utilisée pour la détection des virus polymorphes et codés, lorsque l'utilisation de l'analyse par empreintes de signatures est impossible ou bien devient compliquée, car la création de signatures fiables devient impossible. La méthode consiste en une imitation du code, analysé à l'aide de l'émulateur (logiciel qui reproduit le modèle du processeur, parfois de l'ordinateur ou de l'OS). L'émulateur opère avec la partie protégée de la mémoire (Tampon d'émulation). Les instructions ne sont alors pas transmises au processeur central pour leur réelle exécution. Si le code traité par l'émulateur est contaminé par un virus, le corps de virus sera déchiffré. Si le code traité par l'émulateur est contaminé par un virus, le corps de virus sera déchiffré. Ensuite, ce corps de virus sera détecté sans problèmes par la méthode de recherche par empreintes de signatures.

Analyse heuristique

Une analyse heuristique est utilisée pour détecter des menaces inconnues auparavant, et sur lesquelles les bases virales ne comportent aucune information. La méthode de l'analyse heuristique est fondé sur une certaine connaissance des attributs qui caractérisent les codes malicieux. Chaque attribut ou caractéristique possède un coefficient qui détermine le niveau de gravité et de fiabilité. Le score peut être positif si le signe indique la présence d'un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du « coefficient total » d'un fichier, l'analyseur heuristique calcule la probabilité d'une infection par un virus inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l'objet analysé est considéré comme malveillant.

L'analyseur heuristique utilise également la technologie FLY-CODE™ – un algorithme universel pour l'extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d'objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de la vérification des objets emballés, une technologie d'analyse de leur entropie structurelle est également utilisée, cette technologie permet de détecter les menaces sur les spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base de données de détecter un ensemble de différents types de menaces qui sont emballées du même emballeur polymorphe.

Comme tout système basé sur des hypothèses, l'analyseur heuristique peut commettre des erreurs de type I ou II (omettre un virus ou faire un faux positif). Par conséquent, les objets marqués par l'analyseur heuristique comme « malveillants » reçoivent le statut « suspects ».

Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent l'information la plus récente sur tous les programmes malveillants connus. Les signatures des menaces et les informations sur leurs caractéristiques et les comportements sont mises à jour et ajoutées à la base de données de virus immédiatement, dès que les spécialistes du laboratoire antivirus Doctor Web découvrent de nouvelles menaces, parfois jusqu'à plusieurs fois par heure. Même si un nouveau malware infiltre l'ordinateur, en évitant la protection Dr.Web, il sera détecté dans la liste de processus et neutralisé après la mise à jour des bases virales.