Annexe B. Neutralisation des menaces

Il existe plusieurs méthodes de détection et de suppression des menaces informatiques. Elles sont réunies dans les produits Dr.Web qui sont dotés d'une configuration facile et flexible, ce qui assure une protection solide des ordinateurs et des réseaux.

Méthodes de dépistage

Recherche par empreinte de signatures

Cette méthode est une variante de l'analyse par signatures. La signature est une  séquence continue d'octets, qui est unique en son genre, et, grâce à laquelle il est possible de dépister une menace informatique. Si le code de l'objet suspect analysé contient une signature de la base virale, il s'agit bien alors d'une menace.

La méthode de recherche par empreinte de signatures utilise des empreintes de signatures au lieu d'utiliser les séquences de signatures complètes. La comparaison des empreintes de signatures, qui identifient de manière unique les signatures, permet de préserver l'exactitude de la détection et de la neutralisation des virus, tout en réduisant la taille de la base virale.

Émulation d'exécution

La méthode d'émulation du code logiciel est utilisée pour la détection des virus polymorphes et codés, lorsque l'utilisation de l'analyse par empreintes de signatures est impossible ou bien devient compliquée, car la création de signatures fiables devient impossible. La méthode consiste en une imitation du code, analysé à l'aide de l'émulateur (logiciel qui reproduit le modèle du processeur, parfois de l'ordinateur ou de l'OS). L'émulateur opère avec la partie protégée de la mémoire (Tampon d'émulation). Les instructions ne sont alors pas transmises au processeur central pour leur réelle exécution. Si le code traité par l'émulateur est contaminé par un virus, le corps de virus sera déchiffré. Ensuite, ce corps de virus sera détecté sans problèmes par la méthode de recherche par empreintes de signatures.

Analyse heuristique

Une analyse heuristique est utilisée pour détecter des menaces inconnues auparavant, et sur lesquelles les bases virales ne comportent aucune information. La méthode de l'analyse heuristique est fondé sur une certaine connaissance des attributs qui caractérisent les codes malicieux. Chaque attribut ou caractéristique possède un score qui détermine le niveau de gravité et de fiabilité. Le score est positif si l'attribut est typique pour les codes malicieux. Il peut être négatif si l'attribut n'est pas caractéristique pour les menaces. Si le score total de tous les attributs détectés dans l'objet dépasse une certaine valeur, l'analyseur heuristique en conclut que l'objet peut être nocif et le classe comme suspect.

Comme tout système basé sur des hypothèses, l'analyseur heuristique peut commettre des erreurs de type I ou II (laisser passer un virus ou faire un faux positif).

Origins Tracing™

Origins Tracing™ est un algorithme unique, sans signatures, permettant de détecter les menaces. Cet algorithme est développé par les spécialistes de Doctor Web et il est utilisé uniquement au sein  des produit Dr.Web. Tout en complétant les méthodes d'analyse par signatures et d'analyse heuristique, cet algorithme augmente la probabilité de détection des menaces inconnues. Un postfix .Origin est ajouté aux noms des menaces détectées à l'aide de la technologie Origins Tracing™.

Actions

Les produits Dr.Web peuvent appliquer des actions spécifiques aux objets détectés pour neutraliser les menaces Internet. L'utilisateur peut laisser le logiciel appliquer automatiquement les actions paramétrées par défaut, les modifier, ou choisir une action spécifique pour chaque objet dépisté. Les actions disponibles sont :

Désinfection – s'applique aux menaces très importantes (virus, vers et trojans). Elle sous-entend une élimination du code nocif des fichiers contaminés ou la suppression des duplicatas du logiciel malveillant et, dans la mesure du possible, la restauration des fichiers contaminés dans leur état initial « sain ». Certains fichiers contaminés ne se composent que d'un code malicieux et ne contiennent aucune information utile (trojans ou copies fonctionnelles des vers), alors ils sont incurables et leur désinfection sous-entend leur suppression. Bref, on ne peut pas désinfecter tous les fichiers contaminés, mais les algorithmes de désinfection et de restauration des fichiers se perfectionnent sans cesse.
Quarantaine (La mise en Quarantaine) – est une action appliquée à l'objet dépisté qui est placé dans un dossier spécial isolé du système. Cette action doit être appliquée au cas où aucun traitement n'est possible ou bien s'il s'agit d'objets suspects. Il est recommandé d'envoyer ces objets au Laboratoire viral de Doctor Web;
Suppression la suppression est le procédé le plus radical appliqué aux menaces de tous types. Cette action signifie une élimination complète de l'objet présentant une menace (ou de son contenu). Il est à noter que la suppression peut être appliquée parfois à des fichiers que vous voulez désinfecter (pour lesquels l'action Désinfecter est sélectionnée). Une telle « désinfection par suppression » peut avoir lieu quand tout le code du fichier est nocif et qu'il ne contient aucune information utile (par exemple, par la désinfection d'un ver informatique, on sous-entend une élimination totale de ses copies).
Renommageest une action qui consiste à modifier l'extension du nom de fichier (par défaut, le premier symbole de l'extension est substitué par « # ») ; cette action est appliquée aux fichiers des autres OS (par exemple, MS-DOS® ou Microsoft® Windows®), qui semblent être suspects après l'analyse heuristique. Le changement de nom rend impossible un lancement accidentel du fichier exécutable, ainsi que le téléchargement des fichiers Word ou Excel sans leur scan préalable, ce qui préviendra toute contamination éventuelle par le virus ainsi que sa diffusion.
Ignorer (Laisser passer) – c'est une action qui peut être appliquée seulement à des menaces insignifiantes (pop-up publicitaires, dialers, canulars, logiciels potentiellement dangereux et hacktools), sur lesquelles l'utilisateur ne reçoit pas de notification et qui peuvent être supprimées ou non.
Rapportlorsqu'aucune action n'est appliquée à un objet, les informations le concernant sont néanmoins affichées dans le tableau des résultats du scan.