Techniken zur Erkennung von Bedrohungen

Alle Antivirenprodukte von Doctor Web setzen mehrere Methoden zur Erkennung von Bedrohungen ein, wodurch alle verdächtigen Objekte sorgfältig und zuverlässig untersucht werden.

Signaturbasierte Erkennung

Dieses Verfahren wird als Erstes eingesetzt. Bei dem Verfahren wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von deren Prüfsummen verglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung ist dabei eindeutig: Bedrohungen werden korrekt erkannt und infizierte Objekte werden desinfiziert. Virensignaturen in Virendatenbanken von Dr.Web werden so erstellt, dass mehrere Klassen oder Familien von Bedrohungen anhand einer einzigen Signatur erkannt werden können.

Origins Tracing

Einzigartige Technologie von Dr.Web, die zur Entdeckung von neuen und modifizierten Bedrohungen dient, die bereits bekannte und in den Virendatenbanken beschriebene Infizierungsmechanismen oder schädliches Verhalten benutzen. Dieses Verfahren wird nach Abschluss der Signaturanalyse durchgeführt und schützt die Benutzer der Antivirus-Lösungen von Dr.Web vor solchen Bedrohungen wie z.B. Trojan.Encoder.18 (der auch unter dem Namen „gpcode“ bekannt ist). Weiterhin ermöglicht es Origins Tracing, die Anzahl der Fehlauslösungen der heuristischen Analyse zu reduzieren. Zu den Namen von Bedrohungen, die mit Hilfe von Origins Tracing erkannt werden, wird die Endung .Origin hinzugefügt.

Emulation

Die Emulation der Ausführung des Programmcodes wird zur Erkennung polymorpher und verschlüsselter Viren eingesetzt, wenn die Suche anhand der Prüfsummen der Signaturen unmöglich oder wegen Mangels an zuverlässigen Signaturen wesentlich komplizierter ist. Das Verfahren basiert auf der virtuellen Ausführung des zu analysierenden Codes durch den Emulator, d. h. ein Simulationsmodell des Prozessors und der Laufzeitumgebung. Der Emulator wird in einer gesicherten Umgebung (Emulationsbuffer) ausgeführt. Dem zentralen Prozessor werden dabei keine Anweisungen übermittelt. Wenn ein durch den Emulator verarbeiteter Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, so dass er mit der signaturbasierten Erkennungsmethode überprüft werden kann.

Heuristische Analyse

Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale von schädlichen und zuverlässigen ausführbaren Codes. Jedes Merkmal hat einen bestimmten Punktwert (die Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmals zeigt). Der Punktwert ist positiv, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn das Merkmal nicht für Computerbedrohungen charakteristisch ist. Aufgrund des Gesamtwertes, der den Inhalt des Objekts kennzeichnet, wird die Wahrscheinlichkeit des Vorhandenseins eines unbekannten schädlichen Objekts mittels der heuristischen Analyse ermittelt. Wenn diese Wahrscheinlichkeit einen bestimmten Grenzwert übersteigt, wird davon ausgegangen, dass das analysierte Objekt schädlich ist.

Bei der heuristischen Analyse wird auch die Technologie FLY-CODE verwendet. Das ist ein universaler Algorithmus zum Entpacken archivierter Dateien. Mit dieser auf heuristischen Vermutungen basierten Technik kann festgestellt werden, ob die mit Packprogrammen komprimierten Dateien schädliche Objekte enthalten. Es handelt sich dabei nicht nur um Packprogramme, die den Softwareentwicklern von Dr.Web bekannt sind, sondern auch um neue Programme, die noch nicht untersucht wurden. Bei jedem Scan eines verpackten Objekts wird auch seine strukturelle Entropie analysiert. Eventuelle Bedrohungen können dabei anhand einiger spezifischer Teile des Codes erkannt werden. Diese Technologie ermöglicht es, diverse schädliche Objekte, die mit dem gleichen polymorphen Packer gepackt wurden, anhand nur einer Signatur aufzuspüren.

Da es sich bei der heuristischen Analyse um eine Hypothesenprüfung unter Unbestimmtheitsbedingungen handelt, können Fehler sowohl der ersten Art (Nichterkennen unbekannter Bedrohungen) als auch der zweiten Art (ein harmloses Programm wird als Schadprogramm eingestuft) auftreten. Aus diesem Grund bekommen alle heuristisch als „schädlich“ eingestuften Objekte den Status „verdächtig“.

Verhaltensanalyse

Mit den Methoden der Verhaltensanalyse lassen sich Aktivitäten aller Prozesse im System analysieren. Wenn bei einem Programm eine verdächtige Anomalie erkannt wird, wird das Programm vom System isoliert, sodass seine Aktivitäten keinen Schaden anrichten können.

Dr.Web Process Heuristic

Die verhaltensbasierte Technologie Dr.Web Process Heuristic schützt Ihren Rechner vor den neuesten und gefährlichsten Schadprogrammen, die mit herkömmlichen signaturbasierten Methoden und der heuristischen Analyse nicht immer erkannt werden können.

Dr.Web Process Heuristic analysiert das Verhalten jedes ausgeführten Programms und vergleicht es mit den ständig aktualisierten Daten (Verhaltensmustern) in der Dr.Web Cloud. Anhand des aktuellen Kenntnisstands über das Verhalten der Schadprogramme bestimmt Dr.Web Process Heuristic, ob das Programm gefährlich ist, und neutralisiert die Bedrohung. Die mithilfe von Dr.Web Process Heuristic erkannten Bedrohungen erhalten das Präfix DPH.

Diese Technologie zeichnet sich durch geringen Verbrauch der Rechnerressourcen aus und ermöglicht es Ihnen, Schaden durch unbekannte Viren zu minimieren.

Dr.Web Process Heuristic überwacht alle manipulativen Zugriffe auf das System:

Erkennt Prozesse von Schadprogrammen, die in der Lage sind, lokale Benutzerdateien oder in einem Netzwerk freigegebene Dateien zu modifizieren (z. B. Verschlüsselung durch Ransomware).

Verhindert, dass Schadprogramme ihren schädlichen Code in legitime Prozesse anderer Anwendungen einschleusen.

Schützt kritische Systembereiche vor unbefugten Änderungen durch Schadprogramme.

Erkennt und beendet die Ausführung schädlicher, verdächtiger oder nicht sicherer Skripte und Prozesse.

Schützt Bootsektoren der Festplatte vor Änderungen durch Schadprogramme (wie MBR-Rootkits).

Sorgt für die Integrität der Registry und verhindert dadurch die Deaktivierung des abgesicherten Modus von Windows.

Verhindert die Änderung der Softwareeinschränkungsrichtlinien durch Schadprogramme.

Verhindert das automatische Laden neuer oder unbekannter Treiber.

Verhindert, dass Schadprogramme und einige Anwendungen (z. B. Anti-Antiviren-Programmteile) sich selbst ungefragt in die Registry eintragen, um beim Systemstart automatisch zu starten.

Sperrt Registry-Strukturen für virtuelle Gerätetreiber und verhindert dadurch, dass Trojaner getarnt als neue virtuelle Geräte installiert werden.

Verhindert, dass Schadprogramme die Funktion der Systemdienste beeinträchtigen.

Dr.Web Process Dumper

Der Komplexanalysator gepackter Bedrohungen Dr.Web Process Dumper verbessert die Erkennung vermeintlich „neuer Bedrohungen“, d. h. Bedrohungen, die zwar in der Dr.Web Virendatenbank eingetragen, aber mit neuen Packern getarnt sind. Diese Technologie ermöglicht es, die Größe der Dr.Web Virendatenbanken kompakt zu halten, da es nicht erforderlich ist, immer neue Signaturen für generell gleiche Bedrohungen in die Datenbank einzutragen. Die Updates bleiben überschaubar, während die Qualität der Erkennung und Desinfektion auf demselben hohen Niveau bleibt. Die mithilfe von Dr.Web Process Dumper erkannten Bedrohungen erhalten das Präfix DPD.

Dr.Web ShellGuard

Dr.Web ShellGuard schützt Ihren Rechner vor Exploits. Exploits sind schädliche Objekte, die Schwachstellen im System ausnutzen und dem Angreifer umfassenden Zugriff auf betroffene Anwendungen oder das gesamte Betriebssystem verschaffen. Die mithilfe von Dr.Web ShellGuard erkannten Bedrohungen erhalten das Präfix DPH:Trojan.Exploit.

Dr.Web ShellGuard schützt gängige Anwendungen für Windows-Betriebssysteme:

Webbrowser (Internet Explorer, Mozilla Firefox, Google Chrome u. a.)

Anwendungen des MS Office-Packets

Systemanwendungen

Java-, Flash- und PDF-basierte Anwendungen

Mediaplayer

Das Schutzsystem analysiert potentiell gefährliche Aktivitäten, indem es dank der Technologie Dr.Web ShellGuard nicht nur die auf der lokalen Festplatte des eigenen Rechners befindlichen Daten, sondern auch Informationen in der Dr.Web Cloud verwendet, die folgende Daten enthält:

Informationen über die Algorithmen von Schadprogrammen

Informationen über harmlose Dateien

Informationen über kompromittierte digitale Signaturen bekannter Softwareanbieter

Informationen über die digitalen Signaturen von Adware oder Riskware

Informationen über nicht empfohlene Webseiten

Schutzalgorithmen einiger Anwendungen

Schutz vor Injection-Angriffen

Bei einer Injection handelt es sich um eine Angriffsmethode, bei der ein Schadcode in laufende legitime Prozesse eingebettet wird. Dr.Web überwacht das Verhalten aller laufenden Prozesse und verhindert, dass ein verdächtiger Code in diese Prozesse eingeschleust wird. Die mithilfe des Schutzes vor Injection-Angriffen erkannten Bedrohungen erhalten das Präfix DPH:Trojan.Inject.

Dr.Web untersucht jede Anwendung, die einen Prozess auslöst, auf folgende Merkmale:

Ob es sich um eine neu installierte Anwendung handelt.

Wie sie in das System gelangt ist.

Wo sich die Anwendung befindet.

Wie sie heißt.

Ob es sich um eine vertrauenswürdige Anwendung handelt.

Ob sie über eine gültige digitale Signatur von einer autorisierten Zertifizierungsstelle verfügt.

Ob sie auf der in der Dr.Web Cloud eingerichteten Whitelist oder Blacklist von Anwendungen steht.

Dr.Web überwacht den Status jedes laufenden Prozesses und prüft, ob neue Threads im Prozessadressraum erstellt werden und ob ein fremder Code in den aktiven Prozess eingeschleust wird.

Das Antivirenprogramm kontrolliert Änderungen, die Anwendungen vornehmen, unterbindet Änderung von Systemprozessen und privilegierten Prozessen. Dr.Web sorgt auch dafür, dass ein Schadcode den Speicher der gängigen Webbrowser nicht manipulieren kann, wenn Sie beispielsweise im Internet einkaufen oder in Ihrem Onlinebanking-System eine Geldüberweisung tätigen.

Schutz vor Ransomware

Schutz vor Ransomware ist eine der Komponenten des Präventivschutzes, die Benutzerdateien vor Verschlüsselungstrojanern schützt. Verschlüsselungstrojaner sind Schadprogramme, die Daten auf dem Rechner des Nutzers verschlüsseln und damit unzugänglich machen. Betroffene Nutzer werden aufgefordert, ein Lösegeld für die Dekodierung zu zahlen. Die mithilfe der Komponente „Schutz vor Ransomware“ erkannten Bedrohungen erhalten das Präfix DPH:Trojan.Encoder.

Die Komponente analysiert das Verhalten aller verdächtigen Prozesse. Ins Visier werden vor allem dubiose Prozesse genommen, bei denen nach Dateien gesucht wird oder versucht wird, Dateien zu lesen und zu ändern.

Untersucht werden auch folgende Merkmale der Anwendung, die solch einen Prozess ausgelöst hat:

Ob es sich um eine neu installierte Anwendung handelt.

Wie sie in das System gelangt ist.

Wo sich die Anwendung befindet.

Wie sie heißt.

Ob es sich um eine vertrauenswürdige Anwendung handelt.

Ob sie über eine gültige digitale Signatur von einer autorisierten Zertifizierungsstelle verfügt.

Ob sie auf der in der Dr.Web Cloud befindlichen Whitelist oder Blacklist von Anwendungen steht.

Berücksichtigt wird auch der Charakter der Änderung. Wenn Merkmale von Schadsoftware erkannt werden, werden alle Aktivitäten der Anwendung gesperrt, sodass diese keine Dateien mehr ändern kann.

Maschinelles Lernen

Diese Technik ermöglicht es, schädliche Objekte, deren Signaturen noch nicht in den Virendatenbanken eingetragen sind, aufzuspüren und zu neutralisieren. Der Vorteil dieser Erkennungsmethode besteht darin, dass ein schädlicher Code anhand seiner Eigenschaften identifiziert werden kann, ohne ausgeführt zu werden.

Diese Erkennungstechnik basiert auf der Einteilung von schädlichen Objekten anhand kennzeichnender Merkmale. Die auf Support Vector Machines basierte Technologie des maschinellen Lernens ermöglicht es, Codefragmente von Skriptsprachen zu klassifizieren und in eine Datenbank aufzunehmen. Die vom Antivirenprogramm gescannten Objekte werden analysiert, um Übereinstimmungen mit Merkmalen eines schädlichen Codes zu finden. Die Technologie des maschinellen Lernens automatisiert die Aktualisierung der Liste solcher Merkmale und der Virendatenbanken. Dank der Verbindung mit dem Cloud-Dienst werden große Datenmengen schneller verarbeitet. Der kontinuierliche Schulungsprozess sorgt für den Präventivschutz vor neuen Bedrohungen. Die Technologie kann auch ohne Zugriff auf die Cloud genutzt werden.

Die Technologie des maschinellen Lernens schont die Rechnerressourcen und erfordert keine Code-Ausführung, um die Bedrohung zu erkennen. Das dynamische maschinelle Lernen des Klassifikators kann auch ohne regelmäßige Updates der Virendatenbanken erfolgen.

Cloudbasierte Erkennung von Bedrohungen

Die cloudbasierte Erkennung ermöglicht es, ein beliebiges Objekt (Datei, Anwendung, Webbrowser-Erweiterung u. a.) anhand seines Hashcodes zu überprüfen. Der Hashcode ist eine eindeutige Folge aus Zahlen und Buchstaben mit fester Länge. Bei diesem Verfahren werden Objekte anhand von Hashcodes in speziellen Datenbanken überprüft und dann in bestimmte Kategorien unterteilt: harmlose Objekte, verdächtige Objekte, schädliche Objekte etc. Die mithilfe von Cloud-Technologien erkannten Bedrohungen erhalten das Präfix CLOUD.

Diese Technologie optimiert die Scandauer und reduziert die Auslastung der Systemressourcen. Da bei diesem Verfahren nicht das gesamte Objekt, sondern sein Hashcode analysiert wird, wird die Entscheidung fast augenblicklich getroffen. Wenn keine Verbindung mit den Dr.Web Servern besteht, werden die Dateien lokal überprüft. Wenn die Cloud wieder verfügbar ist, werden die Daten in die Cloud übertragen, um dort verarbeitet zu werden.

Der cloudbasierte Service von Doctor Web sammelt die neuesten Bedrohungsinformationen von vielen Benutzern und aktualisiert umgehend die Datenbanken, sodass das Programm unverzüglich die aktuellen Informationen über bisher unbekannte Bedrohungen erhält und noch wirksamer schützen kann.