Anhang B. Erkennung und Neutralisierung von Computerbedrohungen

Alle Antivirenprodukte von Dr.Web setzen mehrere Methoden zur Erkennung von Bedrohungen ein, wodurch alle verdächtigen Objekte sorgfältig und zuverlässig untersucht werden.

Dieses Verfahren wird als Erstes eingesetzt. Bei dem Verfahren wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von Prüfsummen abgeglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung ist eindeutig: Bedrohungen werden richtig erkannt, und die infizierten Objekte werden desinfiziert. Die Virensignaturen in den Dr.Web Virendatenbanken werden so präzise erstellt, dass anhand einer einzigen Signatur mehrere Klassen oder Familien von Bedrohungen erkannt werden können.

Einzigartige Technologie von Dr.Web für die Erkennung neuer oder modifizierter Bedrohungen, die auf bereits bekannten und in den Virendatenbanken beschriebenen Mechanismen oder Verhaltensmustern basieren. Dieses Verfahren wird nach Abschluss der Signaturanalyse durchgeführt und schützt die Nutzer eines Antivirenprodukts von Dr.Web vor Bedrohungen wie dem Erpresser-Trojaner Trojan.Encoder.18 (der auch unter dem Namen gpcode bekannt ist) und anderer Erpressersoftware. Die Technologie Origins Tracing™ ermöglicht auch, die Anzahl von Fehlauslösungen der heuristischen Erkennung wesentlich zu reduzieren. Zu den Namen von Bedrohungen, die mit Origins Tracing™ erkannt werden, wird die Endung .Origin hinzugefügt.

Die Emulation der Ausführung des Programmcodes wird zur Erkennung polymorpher und verschlüsselter Viren eingesetzt, wenn die Suche anhand der Prüfsummen der Signaturen unmöglich oder wegen Mangels an zuverlässigen Signaturen wesentlich komplizierter ist. Das Verfahren basiert auf der virtuellen Ausführung des zu analysierenden Codes durch den Emulator, d. h. ein Simulationsmodell des Prozessors und der Laufzeitumgebung. Der Emulator wird in einer gesicherten Umgebung (Emulationsbuffer) ausgeführt. Dem zentralen Prozessor werden dabei keine Anweisungen übermittelt. Wenn ein durch den Emulator verarbeiteter Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, so dass er mit der signaturbasierten Erkennungsmethode überprüft werden kann.

Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale eines schädlichen und eines zuverlässigen ausführbaren Codes. Jedes Merkmal hat einen bestimmten Punktwert (die Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmales zeigt). Der Punktwert kann positiv sein, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn seine Eigenschaft nicht schädlich ist. Aufgrund des Gesamtwertes, der den Inhalt des Objekts kennzeichnet, wird mittels der heuristischen Analyse die Wahrscheinlichkeit des Vorhandenseins eines unbekannten schädlichen Objekts ermittelt. Wenn diese Wahrscheinlichkeit einen bestimmten Grenzwert übersteigt, wird davon ausgegangen, dass das analysierte Objekt schädlich ist.

Bei der heuristischen Analyse wird auch die Technologie FLY-CODE™ verwendet. Das ist ein universaler Algorithmus zum Entpacken archivierter Dateien. Mit dieser auf heuristischen Vermutungen basierenden Technik kann festgestellt werden, ob die mit Packprogrammen komprimierten Dateien schädliche Objekte enthalten. Es handelt sich dabei nicht nur um Packprogramme, die den Entwicklern von Doctor Web bekannt sind, sondern auch um neue Programme, die noch nicht untersucht wurden. Bei jedem Scan eines verpackten Objekts wird auch seine Struktur-Entropie analysiert. Eventuelle Bedrohungen können dabei anhand einiger spezifischer Teile des Codes erkannt werden. Diese Technologie ermöglicht, diverse schädliche Objekte, die mit dem gleichen polymorphen Packer gepackt wurden, anhand nur einer Signatur aufzuspüren.

Da es sich bei der heuristischen Analyse um eine Hypothesenprüfung unter Unbestimmtheitsbedingungen handelt, können Fehler sowohl der ersten (Nichterkennen unbekannter Bedrohungen) als auch der zweiten Art (ein sicheres Programm wird als Schadprogramm eingestuft) auftreten. Aus diesem Grund haben alle heuristisch als „schädlich“ erkannten Objekte den Status „verdächtig“.

Bei jedem Suchlauf verwenden alle Antivirenkomponenten der Dr.Web Produkte die aktuellsten Informationen über alle zum aktuellen Zeitpunkt bekannten Schadprogramme. Die Virensignaturen und Informationen über die Merkmale und das Verhalten neuer Bedrohungen werden ständig aktualisiert und unverzüglich in die Virendatenbanken aufgenommen, sobald die Virenanalysten von Doctor Web sie entdeckt haben. Manchmal werden neue Erkennungsmuster stündlich zur Verfügung gestellt. Selbst wenn ein bisher unbekanntes Schadprogramm unbemerkt für den residenten Dr.Web Schutz ins System eindringt, wird es in der Prozessliste erkannt und nach der Aktualisierung der Virendatenbanken sofort neutralisiert.

Die cloudbasierte Erkennung ermöglicht, ein beliebiges Objekt (Datei, Anwendung, Webbrowser-Erweiterung u. a.) anhand seiner Hash-Prüfsumme zu überprüfen. Die Prüfsumme ist eine eindeutige Folge aus Zahlen und Buchstaben mit fester Länge. Bei diesem Verfahren werden Objekte anhand der Hashwerte in einer speziellen Datenbank überprüft und dann in bestimmte Kategorien unterteilt: harmlose Objekte, verdächtige Objekte, schädliche Objekte u. a.

Diese Technologie optimiert die Scandauer und reduziert die Auslastung der Systemressourcen. Da bei diesem Verfahren nicht das gesamte Objekt, sondern sein Hashwert analysiert wird, wird die Entscheidung fast sofort getroffen. Falls keine Verbindung mit der Dr.Web Cloud besteht, werden die Dateien lokal gescannt. Wenn die Verbindung wieder verfügbar ist, werden die Dateien mithilfe der Cloud gescannt.

Die Dr.Web Cloud sammelt die aktuellsten Informationen über Bedrohungen von vielen Benutzern und aktualisiert die Datenbanken umgehend, sodass das Programm noch wirksamer schützen kann.

Dr.Web Antivirenprodukte ermöglichen es Ihnen, individuell Aktionen festzulegen, die bei Fund infizierter oder verdächtiger Objekte ausgeführt werden sollen. Der Nutzer kann entweder die Standardaktionen auswählen oder selbst entscheiden, welche Aktion jeweils ausgeführt werden soll. Zur Verfügung stehen folgende Aktionen:

•Ignore (Ignorieren, Überspringen) – Die erkannte Bedrohung wird ignoriert und nicht gemeldet.

•Report (Benachrichtigen) – Die erkannte Bedrohung wird zwar gemeldet, aber keine Aktion wird ausgeführt.

•Cure (Desinfizieren) – Es wird versucht, das infizierte Objekt zu desinfizieren, indem sein schädlicher Code entfernt wird. Der harmlose Inhalt des Objekts bleibt erhalten. Diese Aktion ist nicht für alle Bedrohungen möglich.

•Quarantine (In Quarantäne verschieben, Isolieren) – Das infizierte Objekt wird (sofern möglich) im Quarantäne-Verzeichnis isoliert.

Wenn eine Bedrohung in einem Container (einem Archiv, einer E-Mail-Datei u. ä.) erkannt wird, wird der gesamte Container in die Quarantäne verschoben, anstatt gelöscht zu werden.