Приложение Б. Устранение компьютерных угроз

Существует множество методов обнаружения и устранения компьютерных угроз. Многие из них объединены в продуктах
Dr.Web с их гибкими и удобными настройками для обеспечения надежной всесторонней защиты компьютеров и сетей.

Методы обнаружения

Поиск по контрольным суммам сигнатур

Данный метод является разновидностью сигнатурного анализа. Сигнатура – это непрерывная конечная последовательность байтов, являющаяся уникальной для определенной компьютерной угрозы. Если в коде проверяемой программы встречается сигнатура из антивирусной базы, то фиксируется факт обнаружения компьютерной угрозы.

Поиск по контрольным суммам сигнатур подразумевает сравнение контрольных сумм, а не самих сигнатур, что позволяет значительно сократить размер антивирусных баз при сохранении надежности традиционного метода сигнатурного анализа.

Эмуляция исполнения

Метод эмуляции исполнения программного кода используется для обнаружения полиморфных и шифрованных вирусов, когда использование поиска по контрольным суммам сигнатур неприменимо или значительно усложнено из-за невозможности построения надежных сигнатур. Метод состоит в имитации исполнения анализируемого кода при помощи эмулятора – программной модели процессора (а также, отчасти, компьютера и операционной системы). Эмулятор оперирует с защищенной областью памяти (буфером эмуляции). При этом инструкции не передаются на центральный процессор для реального исполнения. Если код, обрабатываемый эмулятором, заражен вирусом, то результатом его эмуляции станет расшифрованное тело вируса, которое далее легко поддается определению методом поиска по контрольным суммам сигнатур.

Эвристический анализ

Эвристический анализ используется для обнаружения новых, ранее неизвестных угроз, информации о которых нет в антивирусных базах. Принцип эвристического анализа основан на определении, присутствуют ли у объекта часто встречающиеся признаки (характерные особенности) угроз. Каждому признаку при этом сопоставляется некоторое число, называемое его весом, которое характеризует важность (или серьезность) этого признака. Вес может быть как положительным, если признак указывает на наличие вредоносного кода, так и отрицательным, если признак не свойственен компьютерным угрозам. Если сумма весов всех обнаруженных в объекте признаков превышает определенное значение, то эвристический анализатор выдает заключение о том, что анализируемый объект может представлять угрозу, и определяет его как подозрительный.

Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор может допускать ошибки первого рода (пропуск неизвестной угрозы) и второго рода (ложное срабатывание).

Origins Tracing™

Origins Tracing™ – это уникальный несигнатурный алгоритм обнаружения компьютерных угроз, разработанный специалистами компании Dr.Web и используемых только в продуктах Dr.Web. Дополняя традиционные методы сигнатурного и эвристического анализа, этот алгоритм значительно увеличивает вероятность обнаружения неизвестных угроз. К названиям угроз, обнаруженных при помощи Origins Tracing, добавляется постфикс .Origin.

Действия

В продуктах Dr.Web реализована возможность применять определенные действия к обнаруженным объектам для обезвреживания компьютерных угроз. Пользователь может оставить автоматически применяемые к определенным типам угроз действия, заданные по умолчанию, изменить их или выбирать нужное действия для каждого обнаруженного объекта отдельно. Ниже приведен список доступных действий:

Лечение – это действие, применимое только к значительным угрозам (вирусам, червям и троянским программам). Оно подразумевает удаление вредоносного кода из инфицированных объектов и, по возможности, восстановление их структуры и работоспособности. Иногда объект состоит только из вредоносного кода и не содержит полезной информации (как, например, троянские программы или функциональные копии компьютерных червей), и в таком случае под лечением понимается удаление самого объекта целиком. Не все зараженные файлы можно вылечить, но алгоритмы лечения постоянно развиваются;
Карантин (перемещать в Карантин) – это действие, при котором обнаруженный объект помещается в специальную папку, изолированную от остальной системы. Данное действие можно применять в случаях, когда лечение невозможно, а также для подозрительных объектов. Подобные объекты рекомендуется посылать на анализ в Вирусную лабораторию компании Dr.Web;
Удаление является наиболее эффективным способом устранения компьютерных угроз любых типов. Применение данного действия подразумевает полное удаление объекта, представляющего угрозу (или его содержимого). При этом удаление может иногда применяться к объектам, для которых выбрано действие Лечение. Подобное «лечение удалением» производится, если файл целиком состоит из вредоносного кода и не содержит никакой полезной информации (например, под лечением компьютерного червя подразумевается удаление всех его функциональных копий);
Переименование – это действие, при котором расширение имени файла изменяется в соответствии с некоторым заданным шаблоном (по умолчанию первый символ расширения заменяется символом «#»); это действие целесообразно применять для файлов других операционных систем (например, MS-DOS® или семейства Microsoft® Windows®), выявленных при эвристическом анализе как подозрительные. Переименование сделает невозможным случайный запуск исполняемых модулей в этих системах, загрузку документов Word или Excel без дальнейшей проверки и таким образом предотвратит заражение возможным вирусом и дальнейшее его распространение;
Игнорирование (Пропускать) – это действие, применимое только к незначительным угрозам (рекламные программы, программы дозвона, программы-шутки, потенциально опасные программы и программы взлома), при котором ни действий для устранения обнаруженной угрозы, ни оповещения пользователя не производится;
Информирование означает, что к объекту не применяется никакое действие, но информация об обнаруженной угрозе все равно отображается в отчетной таблице результатов сканирования.