付録 B. 検出手法とアクション

コンピューター脅威の検出および回避には多くの手法があります。Dr.Web 製品 はそれらの手法を組み合わせ、柔軟且つユーザーフレンドリーな設定、および確かなセキュリティを保証する包括的なアプローチによってコンピューターやネットワークに対する最も信頼性の高い保護を提供します。

検出手法

署名のチェックサムスキャン

この手法は署名解析の一種で、署名とは、それぞれのコンピューター脅威が持つユニークな一連の有限バイトシーケンスです。ウイルスデータベースに存在する署名が、スキャンされたプログラムコード内で見つかった場合、検出へとつながります。

署名のチェックサムスキャンは、署名そのものではなく署名のチェックサムを比較します。それによりウイルスデータベースのサイズを大幅に減らし、従来の署名解析の信頼性を維持します。

実行のエミュレーション

プログラムコード実行のエミュレーション手法は、署名のチェックサム解析が効果的ではない場合、または著しく困難な場合(サンプルから信頼できる署名を抽出できないため)に、ポリモーフィックや暗号化ウイルスを検出するために使用されます。CPUのソフトウェアモデルであるエミュレータが、解析されたサンプルコードの実行をエミュレートします。指令は保護されたメモリスペース(エミュレーションバッファ)内で実行され、CPUに渡されて実際に実行されることはありません。感染したファイルがエミュレータによって処理されると、ウイルスのボディが復号化され、署名のチェックサム解析によって簡単に定義されるようになります。

ヒューリスティック解析

ヒューリスティック解析は、ウイルスデータベースにそのバイト署名が追加されていない、新たに作成された未知の脅威を検出する為に使用され、コンピューター脅威に典型的な、または滅多に見られない特徴の重みの定義または計算に基づいて行われます。それらの特徴はその重み(特徴の重要さを定義する数値)およびサイン(ポジティブなサインはその特徴がコンピューター脅威に典型的なものであることを示し、ネガティブなサインは脅威とは関連の無い特徴であることを示します)を持っています。オブジェクトにおけるそれらの合計が特定の閾値を超えている場合、ヒューリスティックアナライザによって脅威である可能性があると判定され、疑わしいオブジェクトと定義されます。

その他の仮説に基づいた検査システム同様、ヒューリスティック解析には誤検出(タイプIエラー)および見逃し(タイプIIエラー)の可能性があります。

Origins Tracing™

Origins Tracing™Dr.Web によって開発され Dr.Web 製品 のみで使用されている、ユニークな非署名脅威検出アルゴリズムです。従来の署名ベースのスキャンおよびヒューリスティック解析と合わせて、未知の脅威の検出率を大幅に向上させます。Origins Tracing アルゴリズムを使用して検出されたオブジェクトの名前には.Origin拡張子が付きます。

アクション

コンピューター脅威を回避する為に、Dr.Web 製品 は悪意のあるオブジェクトに対して様々なアクションを適用します。ユーザーはデフォルト設定を使用、自動的に適用するアクションを設定、または検出の度に手動でアクションを選択することが出来ます。使用可能なアクションは以下のとおりです。

修復-危険度の高い脅威(ウイルス、ワーム、トロイの木馬)に対してのみ適用可能なアクションです。感染したオブジェクトから悪意のあるコードを削除し、可能であれば、オブジェクトの感染前の構造および動作を復元します。 悪意のあるオブジェクトは悪意のあるコードのみで構成されている場合があり(トロイの木馬、コンピューターワームのコピーなど)、その場合、システムの修復はオブジェクト全体の完全な削除を意味します。ウイルスに感染したファイルの全てが修復可能なわけではありませんが、修復アルゴリズムは常に改良され続けています。
隔離 (隔離に移動)-検出された脅威を特別なフォルダに移し、残りのシステムから隔離します。このアクションは修復が不可能な場合、また全ての疑わしいオブジェクトに適しています。そのようなファイルのコピーは解析の為 Dr.Web ウイルスラボ に送信することを推奨します。
削除-コンピューター脅威を回避する最も効果的なアクションで、あらゆる種類のコンピューター脅威に対して適用可能です。このアクションは、修復アクションが選択されているオブジェクトに対して適用されることがあり、これはオブジェクトが悪意のあるコードのみで構成され有益な情報を持っていない場合(例えば、コンピューターワームの修復が、そのコピーを全て削除することを意味する場合など)に起こります。
名前の変更-感染したファイルの拡張子を、指定されたマスクに応じて変更します(デフォルトでは、拡張子の最初の記号が # に置き換えられます)。 このアクションは、ヒューリスティックによって疑わしいと判定された、他のOS(MS-DOS®、Microsoft® Windows®など)のファイルに適しています。名前の変更によって、それらのOS内にある実行ファイルを誤って起動することを回避し、ウイルス感染やその更なる拡散を防ぎます。
無視-危険度の低い脅威(アドウェア、ダイアラー、ジョークプログラム、侵入用ツール、リスクウェア)に対してのみ適用可能なアクションで、いずれのアクションも実行せず通知も表示せずに脅威をスキップします。
レポート-アクションは適用されず、脅威は結果のレポートに記載されます。