Anexo B. Métodos de detección de amenazas

Todos los productos antivirus desarrollados por la compañía Doctor Web aplican un conjunto de métodos de detección de amenazas, lo que permite verificar los objetos sospechosos con máximo detalle.

Métodos de detección de amenazas

Análisis por firma

Este método de detección es el primero que se aplica. Se basa en la búsqueda de firmas de virus ya conocidos en el contenido del objeto analizado. Se llama firma a la secuencia final e ininterrumpida de bytes necesaria y suficiente para identificar con seguridad una amenaza. La comparación del contenido del objeto analizado con las firmas se realiza no directamente, sino por sus sumas de control, lo que permite reducir sustancialmente el tamaño de los registros en las bases de virus sin menoscabar la certeza de la correspondencia y, por tanto, la corrección en la detección de amenazas y en la curación de los objetos infectados. Los registros en las bases de virus Dr.Web están elaborados de tal modo que gracias a un mismo registro es posible detectar clases enteras o familias de amenazas.

Origins Tracing™

Es una tecnología única de Dr.Web que permite detectar amenazas nuevas y modificadas que utilizan mecanismos de contagio o comportamiento malicioso ya conocidos y descritos en las bases de virus. Se realiza al finalizar el análisis por firma y garantiza la protección de los usuarios de las soluciones antivirus Dr.Web contra amenazas tales como el programa troyano de extorsión Trojan.Encoder.18 (también conocido como «gpcode»). Además, el uso de la tecnología Origins Tracing permite reducir significativamente la cantidad de falsas alarmas del analizador heurístico. A los nombres de las amenazas detectadas con Origins Tracing se les añade el posfijo .Origin.

Emulación de ejecución

El método de emulación de ejecución del código del programa se utiliza para detectar virus polimórficos y encriptados en aquellos casos en los que la búsqueda por sumas de control de firmas no puede realizarse o es extremadamente dificultosa debido a la imposibilidad de extraer una firma confiable de la muestra. El método consiste en imitar la ejecución del código analizado con la ayuda de un emulador, un modelo del software del procesador y del medio de ejecución de los programas. El emulador opera con un área protegida de la memoria (búfer de emulación), de modo que las instrucciones no se transmiten al procesador central para su ejecución real. Si el código procesado por el emulador está infectado, el resultado de su emulación será el restablecimiento del código malicioso original accesible al análisis por firma.

Análisis heurístico

El funcionamiento del analizador heurístico se apoya en un conjunto de métodos heurísticos (suposiciones cuya relevancia estadística está confirmada por la experiencia) que permiten identificar rasgos característicos de un código malicioso y, a la inversa, de un código seguro. Cada rasgo del código tiene un determinado peso (es decir, un número que muestra la relevancia y certidumbre de ese rasgo). El peso puede ser positivo si el rasgo indica la presencia de un comportamiento malicioso del código o negativo si el rasgo no corresponde a amenazas informáticas. Sobre la base del peso sumado que caracteriza el contenido del objeto, el analizador heurístico calcula la probabilidad de que este contenga un objeto malicioso desconocido. Si esta probabilidad supera cierto valor de umbral, se concluye que el objeto analizado es malicioso.

El analizador heurístico también utiliza la tecnología FLY-CODE™, un algoritmo universal de extracción de archivos. Este mecanismo permite elaborar suposiciones heurísticas respecto a la presencia de objetos maliciosos entre aquellos comprimidos por los programas de compresión, no solo por aquellos programas ya conocidos por los desarrolladores del producto Dr.Web, sino también por programas nuevos no investigados hasta la fecha. Durante la verificación de los objetos comprimidos se analiza también su entropía estructural, lo que permite detectar amenazas según las particularidades de ubicación de partes de su código. Esta tecnología permite, sobre la base de un solo registro de la base de virus, detectar un conjunto de diversas amenazas comprimidas por un mismo compresor polimórfico.

Dado que el analizador heurístico es un sistema de verificación de hipótesis en condiciones de incertidumbre, puede cometer errores de tipo uno (dejar pasar amenazas desconocidas) como de tipo dos (identificar como malicioso un programa seguro). Por eso a los objetos que el analizador heurístico marca como «maliciosos» se les adjudica el estado de «sospechosos».

Durante los escaneos, todos los componentes de los productos antivirus Dr.Web utilizan la información más reciente sobre todos los programas maliciosos conocidos. las firmas de amenazas y la información sobre sus indicios y modelos de comportamiento se actualizan y añaden en las bases de virus tan pronto como los especialistas del laboratorio antivirus de Doctor Web detectan nuevas amenazas; a veces, eso sucede varias veces al cabo de una hora. Incluso si un nuevo programa malicioso logra eludir la protección de Dr.Web, será detectado en la lista de procesos y neutralizado luego de recibir las bases de virus actualizadas.