Metodi di rilevamento delle minacce |
Tutti i prodotti antivirus sviluppati da Doctor Web impiegano un intero set di metodi di rilevamento delle minacce, il che consente di controllare oggetti sospetti con la massima accuratezza. Analisi basata sulle firme antivirali Questo metodo di rilevamento viene impiegato in primo luogo. Si basa sulla ricerca delle firme delle minacce già conosciute nel contenuto dell'oggetto analizzato. La firma è una sequenza di byte continua finita, necessaria e sufficiente per identificare univocamente una minaccia. I contenuti dell'oggetto analizzato vengono confrontati con i checksum delle firme antivirali anziché con le firme antivirali stesse, il che consente di ridurre notevolmente le dimensioni delle registrazioni nei database dei virus, mantenendo allo stesso tempo l'univocità della corrispondenza e, di conseguenza, la correttezza del rilevamento delle minacce e della cura dell'infezione in oggetti contaminati. Le registrazioni nei database dei virus Dr.Web sono formati in modo tale che tramite una registrazione sia possibile rilevare intere classi o famiglie di minacce. Origins Tracing È una tecnologia unica Dr.Web che consente di rilevare le minacce nuove o modificate di cui il comportamento malevolo o i metodi di infezione sono già conosciuti e descritti nei database dei virus. Viene impiegata dopo l'analisi basata su firme antivirus e protegge gli utenti che utilizzano le soluzioni antivirus Dr.Web dalle minacce quale il trojan-estorsore Trojan.Encoder.18 (anche conosciuto come "gpcode"). Inoltre, l'impiego della tecnologia Origins Tracing fa sì che l'analisi euristica abbia un numero notevolmente minore di falsi positivi. Ai nomi delle minacce rilevate tramite Origins Tracing viene aggiunto il postfisso .Origin. Emulazione di esecuzione Il metodo di emulazione di esecuzione del codice software viene utilizzato per rilevare virus polimorfi e cifrati quando la ricerca per checksum di firme antivirali è non applicabile o notevolmente ostacolata a causa di impossibilità di costruire le firme antivirali affidabili. Il metodo consiste nel simulare l'esecuzione del codice analizzato tramite un emulatore — un modello software del processore e dell'ambiente di esecuzione dei programmi. L'emulatore utilizza una zona di memoria protetta (buffer di emulazione). In tale caso le istruzioni non vengono trasmesse sulla CPU per essere effettivamente eseguite. Se il codice processato dall'emulatore è infetto, come risultato dell'emulazione verrà ripristinato il codice malevolo originale che può essere analizzato tramite l'analisi basata sulle firme antivirali. L'analisi euristica si basa su un set delle conoscenze euristiche (ipotesi la cui significatività statistica è stata empiricamente confermata) circa le caratteristiche del codice eseguibile malevolo o, al contrario, sicuro. Ogni caratteristica del codice ha un determinato peso (cioè un numero che indica l'importanza e la validità di tale caratteristica). Il peso può essere sia positivo, se la caratteristica indica la presenza di un comportamento malevolo del codice, che negativo, se la caratteristica non è peculiare delle minacce informatiche. Sulla base del peso complessivo attribuito al contenuto dell'oggetto, l'analisi euristica calcola la probabilità di presenza di un oggetto malevolo sconosciuto. Se questa probabilità eccede un determinato valore di soglia, l'analisi euristica conclude che l'oggetto analizzato è malevolo. L'analisi euristica utilizza inoltre la tecnologia FLY-CODE — un universale algoritmo per lo spacchettamento di file. Questo metodo consente di costruire un presupposto euristico circa la presenza di oggetti malevoli negli oggetti compressi dai programmi di impacchettamento (packer), e non solo da quelli conosciuti dagli sviluppatori del prodotto Dr.Web, ma anche da quelli nuovi, non ancora studiati. Quando vengono controllati gli oggetti compressi, viene inoltre utilizzata la tecnologia di analisi dell'entropia di struttura che consente di rilevare minacce sulla base delle caratteristiche della posizione dei tratti del codice. Tramite questa tecnologia sulla base di una registrazione del database dei virus è possibile rilevare una serie di varie minacce compresse dall'uguale packer polimorfico. Siccome l'analisi euristica è un sistema di verifica delle ipotesi in condizioni di incertezza, può commettere sia un tipo di errori (salta minacce sconosciute) e sia un altro tipo di errori (riconosce come dannoso un programma innocuo). Pertanto, agli oggetti contrassegnati dall'analisi euristica come "malevoli" viene attribuito lo stato "sospetti". Analisi comportamentale I metodi di analisi comportamentale consentono di analizzare la sequenza delle azioni di tutti i processi nel sistema. Quando vengono rilevati segni di comportamento di programmi malevoli, le azioni di tale applicazione vengono bloccate. Dr.Web Process Heuristic La tecnologia di analisi comportamentale Dr.Web Process Heuristic protegge dai programmi malevoli più recenti e pericolosi che sono capaci di evitare il rilevamento tramite i maccanismi tradizionali di firme antivirali e di analisi euristica. Dr.Web Process Heuristic analizza il comportamento di ciascun programma in esecuzione, consultando il servizio cloud Dr.Web costantemente aggiornato, e sulla base delle ultime conoscenze sul comportamento dei programmi malevoli, determina se un programma è pericoloso, dopo di che vengono adottate le misure necessarie per neutralizzare la minaccia. Questa tecnologia di protezione dati permette di minimizzare le perdite dalle azioni di un virus sconosciuto con il minimo consumo di risorse del sistema protetto. Dr.Web Process Heuristic controlla tutti i tentativi di modifica del sistema: •riconosce i processi dei programmi malevoli che modificano in modo indesiderabile i file dell'utente (per esempio, i tentativi di criptazione da parte dei trojan cryptolocker), compresi quelli situati in directory disponibili via rete; •impedisce i tentativi dei programmi malevoli di integrarsi nei processi di altre applicazioni; •protegge le porzioni critiche del sistema dalle modifiche da parte dei programmi malevoli; •rileva e termina gli script e i processi malevoli, sospetti o inattendibili; •blocca la possibilità di modifica dei settori di avvio del disco da parte dei programmi malevoli per rendere impossibile l'avvio (per esempio, dei bootkit) sul computer; •previene la disattivazione della modalità provvisoria di Windows, bloccando modifiche del registro; •non permette ai programmi malevoli di modificare le regole di avvio di programmi; •blocca il caricamento di driver nuovi o sconosciuti all'insaputa dell'utente; •blocca l'esecuzione automatica di programmi malevoli, nonché di determinate applicazioni, quali gli anti-antivirus, non permettendo che si iscrivano al registro per il successivo avvio automatico; •blocca i rami del registro responsabili dei driver di dispositivi virtuali, il che rende impossibile l'installazione di programmi trojan sotto le mentite spoglie di un nuovo dispositivo virtuale; •non permette al software malevolo di compromettere il normale funzionamento dei servizi di sistema. L'analisi integrata delle minacce pacchettizzate Dr.Web Process Dumper aumenta significativamente il livello di rilevamento delle minacce apparentemente "nuove" — cioè che sono conosciute dal database dei virus Dr.Web, ma sono nascoste sotto packer nuovi, nonché elimina la necessità di aggiungere al database dei virus sempre nuovi record di minacce. La compattezza mantenuta dei database dei virus Dr.Web, a sua volta, non necessita di costante aumento dei requisiti di sistema e assicura le dimensioni tradizionalmente piccole degli aggiornamenti con la qualità di rilevamento e cura invariabilmente alta. La tecnologia Dr.Web ShellGuard protegge il computer dagli exploit — oggetti malevoli che cercano di sfruttare le vulnerabilità per ottenere il controllo sulle applicazioni attaccate o sul sistema operativo in generale. Dr.Web ShellGuard protegge le applicazioni più comuni installate su computer con Windows: •i browser (Internet Explorer, Mozilla Firefox, Yandex.Browser, Google Chrome, Vivaldi Browser e altri ancora); •le applicazioni MS Office, inclusa MS Office 2016; •le applicazioni di sistema; •le applicazioni che utilizzano le tecnologie java, flash e pdf; •i lettori multimediali. Analizzando le azioni potenzialmente pericolose, il sistema di protezione, grazie alla tecnologia Dr.Web ShellGuard, si basa non solo sulle regole trascritte, conservate sul computer, ma anche sulle conoscenze del servizio cloud Dr.Web in cui vengono raccolti: •dati sugli algoritmi dei programmi che hanno intenzioni malevole; •informazioni sui file noti come puliti; •informazioni sulle firme digitali compromesse di noti produttori di software; •informazioni sulle firme digitali dei software pubblicitari o potenzialmente pericolosi; •gli algoritmi di protezione di determinate applicazioni. Metodo di apprendimento automatico Viene utilizzato per cercare e neutralizzare oggetti malevoli che ancora non ci sono nei database dei virus. Il vantaggio di questo metodo consiste nel riconoscimento di un codice malevolo senza eseguirlo, solo in base alle sue caratteristiche. Il rilevamento delle minacce si basa sulla classificazione degli oggetti malevoli secondo determinati segni. Tramite la tecnologia di apprendimento automatico basato sul metodo dei vettori di supporto, vengono effettuate la classificazione e la registrazione nel database dei frammenti di codice dei linguaggi di scripting. In seguito gli oggetti controllati vengono analizzati in base alla conformità ai segni di codice malevolo. La tecnologia di apprendimento automatico automatizza l'aggiornamento della lista di questi segni e l'integrazione dei database dei virus. Grazie alla connessione al servizio cloud, l'elaborazione di grandi quantità di dati avviene più velocemente, e il training continuo del sistema assicura la protezione preventiva dalle minacce più recenti. La tecnologia può funzionare anche senza connessione costante al cloud. Il metodo di apprendimento automatico risparmia in modo significativo le risorse del sistema operativo in quanto non richiede l'esecuzione di codice per rilevare le minacce, mentre l'addestramento automatico dinamico del classificatore può essere effettuato anche senza aggiornamento costante dei database dei virus, utilizzato nell'analisi basata sulle firme antivirali. Tecnologie cloud di rilevamento delle minacce I metodi di rilevamento cloud consentono di controllare qualsiasi oggetto (file, applicazione, estensione per un browser, ecc.) in base alla somma di hash. È una sequenza univoca di numeri e lettere di una determinata lunghezza. Nell'analisi in base alla somma di hash gli oggetti vengono confrontati con il database esistente e quindi classificati in categorie: pulito, sospetto, malevolo, ecc. Tale tecnologia ottimizza i tempi di verifica dei file e risparmia risorse del dispositivo. Grazie al fatto che non è l'oggetto stesso che viene analizzato, ma la sua somma di hash univoca, la decisione viene presa quasi istantaneamente. Se non è disponibile una connessione ai server Dr.Web, i file vengono scansionati localmente e la verifica cloud viene ripresa al ripristino della connessione. In questo modo, il servizio cloud Doctor Web raccoglie informazioni da numerosi utenti e aggiorna prontamente i dati su minacce precedentemente sconosciute, aumentando così l'efficacia della protezione dei dispositivi. |