検出手法

Doctor Web アンチウイルスソリューションは、悪意のあるソフトウェア検出に複数の手法を同時に使用します。それにより、感染が疑われるファイルに対する徹底的な検査を実行し、ソフトウェアの動作をコントロールすることができます。

シグネチャ解析

スキャンはまず、ファイルコードセグメントを既知のウイルス署名と比較するシグネチャ解析で始まります。シグネチャはウイルスを特定する為に必要かつ十分な、連続するバイトの有限なシーケンスです。シグネチャ辞書のサイズを抑える為、 Dr.Web アンチウイルスソリューションはシグネチャのシーケンス全体ではなくチェックサムを使用します。チェックサムはシグネチャを特定し、ウイルス検出および駆除の正確さを維持します。Dr.Web ウイルスデータベース は、いくつかのエントリによって、特定のウイルスのみでなく脅威のクラス全体を検出できるよう設計されています。

Origins Tracing

シグネチャ解析の完了後、Dr.Web アンチウイルスソリューションは既知の感染メカニズムを用いる新種・亜種ウイルスを検出するため、ユニークなテクノロジー Origins Tracing を使用します。それにより、Dr.Web ユーザーは Trojan.Encoder.18(別名 gpcode)のような悪質な脅威から保護されます。新種・亜種ウイルスの検出を可能にするほか、Origins Tracing はDr.Web ヒューリスティックアナライザによる誤検出を劇的に減らします。Origins Tracing アルゴリズムを使用して検出されたオブジェクトの名前には.Origin拡張子が付きます。

実行のエミュレーション

プログラムコード実行のエミュレーション手法は、署名のチェックサム解析が効果的ではない場合、または著しく困難な場合(サンプルから信頼できる署名を抽出できないため)に、ポリモーフィック型ウイルスや暗号化ウイルスを検出するために使用されます。プロセッサおよびランタイム環境のプログラミングモデルである エミュレータ が、解析するサンプルコードの実行をエミュレートします。エミュレータは保護されたメモリスペース(エミュレーションバッファ)内で動作し、解析するプログラムの実行は命令ごとに順次行われます。ただし、これらの命令がCPUによって実際に実行されることはありません。ポリモーフィック型ウイルスに感染したファイルがエミュレータによって処理されると、ウイルスのボディが復号化され、署名のチェックサム解析によって簡単に識別されるようになります。

ヒューリスティック解析

ヒューリスティックアナライザの検出手法は、ウイルスコードに典型的な、または非常にまれな特徴(属性)に関する特定の情報に基づいています(ヒューリスティック)。各属性は、その深刻度および信頼度を定義する重み係数を持っています。属性が悪意のあるコードであることを示している場合には重み係数がプラスになり、コンピューター脅威の特徴を示していない場合はマイナスになります。ヒューリスティックアナライザはファイルの重み付け合計値に応じて、未知のウイルスに感染している可能性を計算します。それらの合計が一定の閾値を超えている場合、ヒューリスティックアナライザによって、オブジェクトは未知のウイルスに感染している可能性があると判定されます。

ヒューリスティックアナライザはファイル解凍の柔軟なアルゴリズムである FLY-CODE テクノロジーも使用します。このテクノロジーは、 Dr.Web にとって既知のパッカーのみでなく、これまでに発見されていない未知のパッカーによって圧縮されたファイル内に悪意のあるオブジェクトが存在する可能性をヒューリスティックに検出します。Dr.Web アンチウイルスソリューションはパックされたオブジェクトのスキャン中に構造エントロピー解析も使用します。このテクノロジーはコードの配置を解析することで脅威を検出します。そのため、1つの検体から、同じポリモーフィックパッカーによってパックされた他の多くの脅威を検出することが可能になります。

不確実な状況で仮説を扱うあらゆるシステム同様、ヒューリスティックアナライザもまたタイプ I またはタイプ II のエラーを侵す可能性があります(ウイルスを見逃す、または誤検知)。そのため、ヒューリスティックアナライザによって検出されたオブジェクトは「疑わしい」オブジェクトとして定義されます。

動作解析(Behavior Analysis)

動作解析では、システム内のすべてのプロセスアクションのシーケンスを分析します。悪意のある動作が検出されると、そのプログラムのアクションはブロックされます。

Dr.Web Process Heuristic

動作解析テクノロジーであるDr.Web Process Heuristicにより、従来のシグネチャベースの解析やヒューリスティック解析をくぐり抜ける危険な新しい悪意のあるプログラムからシステムを保護します。

Dr.Web Process Heuristicは動作中のプログラムの動作をリアルタイムで解析します。常時更新されていくDr.Web Cloudサービスと悪意のある動作に関する情報を使用して、プログラムが危険であるかどうかを判断し、脅威を駆除するために必要な処置を行います。Dr.Web Process Heuristicを使用して検出されたオブジェクトは、名前に DPH プレフィックスが付けられます。

このデータ保護テクノロジーによって、未知のマルウェアによる損害を最小限に抑えることができます。また、システムリソースの消費は非常に少なくなっています。

Dr.Web Process Heuristicはシステムを改変しようとするあらゆる試みをモニタリングします。

ネットワーク経由でアクセス可能な共有ファイルやフォルダを含む、ユーザーのファイルを改変する悪意のあるプロセスを検出(暗号化ランサムウェアの動作など)

他のアプリケーションのプロセス内にマルウェアが自身のコードを挿入することを防ぐ

マルウェアによる改変からクリティカルなシステム領域を保護

悪意のある、疑わしい、または信頼できないスクリプトやプロセスの実行を検出し、停止させる

マルウェアによるブートセクターの改変を防ぎ、悪意のあるコードがコンピューター上で実行されないようにする

Windowsレジストリ内の変更をブロックし、セーフモードが無効にならないようにする

マルウェアによる起動許可の変更を防ぐ

ユーザーの許可なしに、新たなまたは未知のドライバがダウンロードされることを防ぐ

マルウェアや、アンチアンチウイルスなどのアプリケーションがWindowsレジストリ内に登録されることを防ぎ、自動実行されないようにする

仮想デバイスドライバに関する情報を含んだレジストリセクションをロックし、新しい仮想デバイスが作成されないようにする

マルウェアによるシステムルーチン(スケジュールによるバックアップなど)の妨害を防ぐ

Dr.Web Process Dumper

Dr.Web Process Dumperは、パックされた脅威の包括的な分析により、新しいパッカーによって隠される前にDr.Webウイルスデータベースに追加された、「新しい」とされる悪意のあるプログラムの検出を大幅に向上させます。また、このタイプの分析では、ウイルスデータベースに新しいエントリを追加し続ける必要がなくなります。Dr.Webウイルスデータベースを小さく維持することで、システム要件を絶えず増やす必要がありません。更新サイズは従来どおり小さく、一方で検出ならびに修復の品質は高レベルに保たれます。Dr.Web Process Dumperを使用して検出されたオブジェクトは、名前に DPD プレフィックスが付けられます。

Dr.Web ShellGuard

Dr.Web ShellGuardはお使いのデバイスをエクスプロイトから保護します。エクスプロイト はソフトウェアの脆弱性を悪用する悪意のあるオブジェクトです。これらの脆弱性は、標的となるアプリケーションやOSのコントロールを獲得するために悪用されます。Dr.Web ShellGuardを使用して検出されたオブジェクトは、名前に DPH:Trojan.Exploit プレフィックスが付けられます。

Dr.Web ShellGuardは、ほぼすべてのWindows搭載コンピューター上にインストールされる一般的なアプリケーションを保護します。

一般的なWebブラウザ(Internet Explorer、Mozilla Firefox、Google Chromeなど)

MS Officeアプリケーション

システムアプリケーション

Java、Flash、PDFを使用するアプリケーション

メディアプレイヤー(ソフトウェア)

Dr.Web ShellGuard は悪意のある動作を検出するために、ローカルで保存されていく情報のほか、Dr.Web Cloudサービスの以下のデータも使用します。

悪意のあるプログラムのアルゴリズムに関する情報

既知のクリーンなファイルに関する情報

よく知られたソフトウェアデベロッパーの悪用されたデジタル署名に関する情報

アドウェアおよびリスクウェアによって使用されるデジタル署名に関する情報

閲覧が望ましくないWebサイトに関する情報

特定のアプリケーションによって使用される保護アルゴリズム

Injection Protection(インジェクション保護)

インジェクション は、デバイス上で実行されているプロセスに悪意のあるコードを挿入(インジェクト)する攻撃手法です。Dr.Webは、システム内のすべてのプロセスの動作を常時監視し、悪意があると判断されたコードが挿入されるのを防ぎます。Injection Protectionを使用して検出されたオブジェクトは、名前に DPH:Trojan.Inject プレフィックスが付けられます。

Dr.Webはプロセスを実行したアプリケーションをスキャンし、次の情報についてチェックします。

アプリケーションが新しいものであるかどうか

どのようにシステム内に入ったのか

アプリケーションのある場所

アプリケーションの名前

アプリケーションが、信頼できるアプリケーションのリストに含まれているかどうか

信頼できる認証センターの有効なデジタル署名を持っているかどうか

Dr.Web Cloudサービスのブラックリストまたはホワイトリストに含まれているかどうか

Dr.Webは、実行されたプロセスの状態を監視します(プロセス空間にリモートスレッドが作成されたかどうか、アクティブなプロセスに外部コードが埋め込まれたかどうかをチェックします)。

Dr.Webアンチウイルスプログラムは、アプリケーションが行う変更を制御し、システムや特権を持つプロセスが変更されるのを防ぎます。そのほか、悪意のあるコードが一般的なブラウザのメモリを変更できないようにします(インターネットで買い物をしたり、ネットバンキングで送金したりする場合など)。

Ransomware Protection(ランサムウェア保護)

Ransomware Protection は、ユーザーのファイルを暗号化ウイルスから保護するBehavior Analysisの手法の1つです。暗号化ランサムウェアは、コンピューターに侵入するとユーザーのデータへのアクセスをブロックし、それらを復元するために金銭を要求します。Ransomware Protectionを使用して検出されたオブジェクトは、名前に DPH:Trojan.Encoder プレフィックスが付けられます。

このコンポーネントは、ファイルの検索や読み取り、変更を試みるプロセスに特に注意を払い、疑わしいプロセスの動作を分析します。

アプリケーションについて、次の情報もチェックされます。

アプリケーションが新しいものであるかどうか

どのようにシステム内に入ったのか

アプリケーションのある場所

アプリケーションの名前

アプリケーションが信頼できるものであるかどうか

信頼できる認証センターの有効なデジタル署名を持っているかどうか

Dr.Web Cloudサービスにある、アプリケーションのブラックリストまたはホワイトリストに含まれているかどうか

また、ファイルの変更方法もチェックされます。悪意のある動作が検出された場合は、そのプログラムのアクションをブロックし、ファイルを変更しようとする試みを阻止します。

マシンラーニング

マシンラーニングは、ウイルスデータベースに含まれていない悪意のあるオブジェクトを検出し、駆除するために使用されます。この手法の利点は、悪意のあるコードを実行することなくその機能のみによって判断し、検出することができるということです。

脅威の検出は、特定の機能による悪意のあるオブジェクトの分類に基づいています。サポートベクターマシン(SVM)は、分類に使用されるマシンラーニングテクノロジーの基礎となり、スクリプト言語で書かれたコード片をデータベースに追加します。検出されたオブジェクトは、悪質なコードの特徴を持っているかどうかに基づいて分析されます。マシンラーニングテクノロジーは、これらの機能やウイルスデータベースを自動的に更新するプロセスを作成します。クラウドサービスへの接続により、大量のデータがより速く処理され、システムの継続的なトレーニングにより、最新の脅威からの予防的保護が提供されます。このテクノロジーは、クラウドへの常時接続がなくても機能することができます。

マシンラーニング手法は、脅威を検出するためのコード実行を必要とせず、シグネチャ解析に使用されるウイルスデータベースの定期的な更新なしに分類子の動的マシンラーニングを実行できるため、オペレーティングシステムのリソースを大幅に節約します。

クラウドベースの脅威検出テクノロジー

クラウドベースの検出方法では、あらゆるオブジェクト(ファイル、アプリケーション、ブラウザ拡張機能など)をハッシュ値によってスキャンします。ハッシュは、特定の長さの数字と文字からなる一意のシーケンスです。ハッシュ値による分析では、オブジェクトは既存のデータベースを使用してスキャンされ、カテゴリー別に分類されます(クリーン、疑わしい、悪意のある、など)。クラウドベースのテクノロジーを使用して検出されたオブジェクトは、名前に CLOUD プレフィックスが付けられます。

このテクノロジーにより、ファイルスキャンの時間を最適化し、デバイスリソースを節約することができます。分析されるのはオブジェクトではなく、その固有のハッシュ値であるため、オブジェクトが悪意のあるものであるかどうかの決定はほとんど瞬時に行われます。Dr.Webのサーバーに接続されていない場合、ファイルはローカルでスキャンされ、接続が復元されるとクラウドスキャンが再開されます。

Doctor Webクラウドサービスは多くのユーザーから情報を収集し、これまで未知であった脅威に関するデータを迅速に更新します。これにより、デバイス保護の効果を高めます。