Додаток Б. Усунення комп'ютерних загроз

На головну  Назад  Вперед

Всі антивірусні продукти, розроблені компанією Dr.Web, застосовують цілий набір методів виявлення загроз, що дозволяє перевіряти підозрілі об'єкти максимально ретельно.

Методи виявлення загроз

Сигнатурний аналіз

Цей метод виявлення застосовується в першу чергу. Виявлення проводиться шляхом перевірки вмісту об'єкта, що аналізується, на наявність в ньому сигнатур вже відомих загроз. Сигнатурою називається неперервна кінцева послідовність байт, необхідна та достатня для однозначної ідентифікації загрози. При цьому порівнянні вмісту об'єкта, що аналізується, з сигнатурами проводиться не напряму, а за їхніми контрольними сумами, що дозволяє значно зменшити розмір записів в вірусних базах, зберігши при цьому однозначність відповідності й, отже, коректність виявлення загроз та лікування інфікованих об'єктів. Записи в вірусних базах Dr.Web складені таким чином, що завдяки одному тому самому запису можна виявляти цілі класи або сімейства загроз.

Origins Tracing™

Ця унікальна технологія Dr.Web, яка дозволяє визначити нові або модифіковані загрози, що використовує вже відомі та описані в вірусних базах механізми зараження та заподіяння шкоди. Вона проводиться після завершення сигнатурного аналізу та забезпечує захист користувачів, які використовують антивірусні рішення Dr.Web від таких загроз, як троянська програма-вимагач Trojan.Encoder.18 (також відома під назвою gpcode). Окрім того, використання технології Origins Tracing™ дозволяє значно зменшити кількість помилкових спрацьовувань евристичного аналізатора. До назв загроз, виявлених за допомогою Origins Tracing™, додається постфікс .Origin.

Эмуляція виконання

Метод емуляції виконання програмного коду використовується для виявлення поліморфних та шифрованих вірусів, коли використання пошуку за контрольними сумами сигнатур незастосовне або значно ускладнене через неможливість побудови надійних сигнатур. Метод полягає в імітації виконання коду, що аналізується, за допомогою емулятора – програмної моделі процесора та середовища виконання програм. Эмулятор оперує захищеною областю пам'яті (буфером емуляції). При цьому інструкції не передаються на центральний процесор для реального виконання. Якщо код, що опрацьовується емулятором, інфікований, то результатом його емуляції стане відновлення вихідного шкідливого коду, доступного для сигнатурного аналізу.

Евристичний аналіз

Робота евристичного аналізатора грунтується на наборі евристик (припущень, статистична значимість яких підтверджена дослідним шляхом) про характерні ознаки шкідливого та, навпаки, безпечного виконуваного коду. Кожна ознака коду має визначену вагу (тобто число, що показує важливість та достовірність цієї ознаки). Вага може бути як позитивною, якщо ознака вказує на наявність шкідливої поведінки коду, так і негативною, якщо ознака не властива комп'ютерним загрозам. На основі сумарної ваги, що характеризує вміст об'єкта, евристичний аналізатор обчислює вірогідність вмісту в ньому невідомого шкідливого об'єкта. Якщо ця вірогідність перевищує деяке порогове значення, то видається висновок про те, що об'єкт, який аналізується, є шкідливим.

Евристичний аналізатор також використовує технологію FLY-CODE™ – універсальний алгоритм розпакування файлів. Цей механізм дозволяє будувати евристичні припущення про наявність шкідливих об'єктів в об'єктах, стиснених програмами упаковування (пакувальниками), причому не тільки відомими розробникам продукту Dr.Web, але й новими програмами. При перевірці упакованих об'єктів також використовується технологія аналізу їхньої структурної ентропії, яка дозволяє виявляти загрози за особливостями розташування ділянок їхнього коду. Ця технологія дозволяє на основі одного запису вірусної бази провести виявлення набору різних загроз, упакованих однаковим поліморфним пакувальником.

Оскільки евристичний аналізатор є системою перевірки гіпотез в умовах невизначеності, то він може припускатися помилки як першого (пропуск невідомих загроз), так і другого роду (визнання безпечної програми шкідливою). Тому об'єктам, позначеним евристичним аналізатором як «шкідливі», присвоюється статус «підозрілі».

Під час будь-якої з перевірок всі компоненти антивірусних продуктів Dr.Web використовують найсвіжішу інформацію про всі відомі шкідливі програми. Сигнатури загроз й інформація про їхні ознаки та моделі поведінки оновлюються та додаються до вірусних баз одразу, як тільки спеціалісти антивірусної лабораторії «Доктор Веб» виявляють нові загрози, іноді – до декількох раз на годину. Навіть якщо найновіша шкідлива програма проникає на комп'ютер, оминаючи резидентний захист Dr.Web, то вона буде виявлена у списку процесів та нейтралізована після отримання оновлених вірусних баз.

Дії з загрозами

В продуктах Dr.Web реалізована можливість застосовувати визначені дії до виявлених об'єктів для знешкодження комп'ютерних загроз. Користувач може залишити задані за замовчуванням дії, що автоматично застосовуються до визначених типів загроз, змінити їх або вибирати необхідну дію для кожного виявленого об'єкта окремо. Нижче наведений список доступних дій:

Ignore (Ігнорувати, Пропустити) – Пропустити виявлену загрозу, не застосовуючи жодних дій;

Report (Інформувати) – Сповістити про наявність загрози, але нічого не робити з інфікованим об'єктом;

Cure (Лікувати) – Спробувати зцілити інфікований об'єкт, видаливши з нього шкідливий вміст, та залишивши цілим корисний вміст. Зверніть увагу, що ця дія застосовна не до всіх видів загроз;

Quarantine (Перемістити до карантину, Ізолювати) – Перемістити інфікований об'єкт (якщо він допускає цю операцію) до спеціального каталогу карантину з метою його ізоляції;

Delete (Видалити) – Безповоротно видалити інфікований об'єкт.

Якщо загроза виявлена в файлі, що знаходиться в контейнері (архів, поштове повідомлення тощо), замість видалення виконується переміщення контейнера до карантину.