какие функции выполняет технология dr web process heuristic

Новинки версии Dr.Web 9.0 для Windows

Реальная защита от реальных угроз

Раскрыть всё | Свернуть всё

Детектирование новейших неизвестных угроз

Вредоносные программы семейств Троянцы Trojan.Encoder, Exploit, Trojan.Winlock, Trojan.Inject на сегодняшний день составляют почти 90% РЕАЛЬНЫХ угроз. Среди них новых уникальных вредоносных программ (т. е. не похожих одна на другую) — мало. Все эти троянские программы можно разбить на группы –(семейства) на основании общих признаков вредоносных проявлений в системе — шифрование данных (семейство Encoder), блокировка ОС (семейство Winlock) и т. д. Вредоносные программы в рамках одной группы совершают схожие действия, т. е. работают по единой поведенческой модели. На знаниях о поведенческих моделях разных групп вредоносных программ базируются алгоритмы детектирования средствами технологии Dr.Web Process Heuristic — поведенческого анализатора Dr.Web.

Dr.Web Process Heuristic анализирует поведение запущенных предположительно вредоносных программ, сравнивая его с уже известными Dr.Web моделями поведения, и на основании выявленных факторов делает вывод о ее вредоносности, после чего принимает необходимые меры по нейтрализации угрозы.

Dr.Web Process Heuristic защищает от новых, наиболее актуальных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, которые еще не поступили на анализ в антивирусную лабораторию, а значит, неизвестны вирусной базе Dr.Web на момент проникновения в систему.

Историческая справка

Новый уровень лечения от неизвестных угроз и защита данных от повреждения

Выявить неизвестный вирусной базе Dr.Web вредоносный объект недостаточно — систему следует вылечить. Традиционно под лечением троянцев понимается удаление вредоносного кода из системы. Но что делать, если в результате действия вредоносной программы остались зашифрованные файлы или настройки системы, позволяющие хакеру проникать к жертве вновь и вновь? В случае с современными троянцами лечение — это комплекс мер, который включает перемещение неизвестного вредоносного объекта, обнаруженного средствами Dr.Web Process Heuristic, в карантин и очистку системы от последствий всех действий, совершенных предположительно вредоносной программой, — восстановление исходного состояния системы.

Анализ поведения неизвестной вредоносной программы средствами Dr.Web Process Heuristic происходит почти молниеносно, но даже за эти мгновения вредоносный объект может успеть похозяйничать в зараженной системе — например, зашифровать несколько файлов. Чтобы важные данные не были потеряны, в версии Dr.Web 9.0 для Windows появилась технология защиты пользовательских данных от повреждения, основанная на регулярном создании защищенных копий файлов из выбранных пользователем каталогов.

Все выбранные для защиты файлы копируются в один каталог, в дальнейшем учитываются только изменения данных.

Возможность защищенного копирования данных позволяет пользователям версии Dr.Web 9.0 для Windows самостоятельно восстанавливать поврежденные данные без необходимости обращения в службу технической поддержки «Доктор Веб» — достаточно нажать на кнопку «Восстановить».

Создание защищенных Dr.Web копий файлов с возможностью их последующего восстановления является одной из мер комплексного лечения от неизвестных угроз, обнаруженных средствами Dr.Web Process Heuristic.

Комплексный анализатор упакованных угроз — не имеющая аналогов технология Dr.Web!

Как уже было сказано выше — уникальных вирусов мало. Один и тот же вирус может перепаковываться несколько раз в час и выпускаться в «живую природу» под видом нового. Вот и получается, что многие якобы «новые» вирусы — на самом деле уже известные вирусной базе Dr.Web вредоносные объекты, скрытые под теми упаковщиками, которые Dr.Web более ранних версий не всегда мог распознать.

Комплексный анализатор упакованных угроз использует поведенческий анализатор Dr.Web Process Heuristic и позволяет в реальном времени при начале активности вредоносного процесса распознать его уже имеющимися сигнатурными записями.

Новая технология значительно повышает уровень детектирования якобы «новых угроз» — известных вирусной базе Dr.Web, но скрытых под новыми упаковщиками, а также исключает необходимость добавления в базы все новых и новых записей об угрозах. Сохранение компактности вирусных баз Dr.Web в свою очередь не требует постоянного увеличения системных требований и обеспечивает традиционно малый размер обновлений — при все таком же традиционно высоком качестве детектирования и лечения.

Повышение уровня быстродействия

В версии Dr.Web 9.0 для Windows значительно повышена скорость сканирования:

Полная проверка любого трафика

Защита от несанкционированного использования съемных устройств и самого компьютера средствами Родительского контроля Dr.Web

Защита правообладателей контента

В версии Dr.Web 9.0 для Windows в компоненте SpIDer Gate появилась отдельная база сайтов, распространяющих нелицензионный контент. Каждая запись базы помимо блокируемого адреса содержит также ссылку на сайт правообладателя контента. Пользователю Dr.Web выдается предупреждение о невозможности перехода на «пиратский» ресурс и предлагается перейти на сайт правообладателя.

При желании эту функцию можно отключить в настройках SpIDer GUard. Перед принятием такого решения, ознакомьтесь с этим предупреждением.

Источник

Технологии превентивной защиты Dr.Web

Антивирус обязан не допускать заражения. В этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.

Все троянцы делают это:

Действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций. Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).

Начала проявления активности троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Это возможно благодаря разнообразным технологиям Превентивной защиты Dr.Web, действующей на опережение. Они «на лету» анализируют поведение программ и немедленно пресекают вредоносные процессы. По схожести поведения подозрительной программы с известными моделями подобного поведения Dr.Web умеет распознавать и блокировать такие программы. Технологии Превентивной защиты Dr.Web не допускают проникновений новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.

Перечислим только некоторые из этих технологий.

Dr.Web Process Heuristic

В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знания, а значит, известные злоумышленникам правила поведения легитимных программ, интеллектуальная система Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.

Эта технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса — при минимальном потреблении ресурсов защищаемой системы.

Dr.Web Process Heuristic контролирует любые попытки изменения системы:

распознаёт процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков); препятствует попыткам вредоносных программ внедриться в процессы других приложений; защищает от модификаций вредоносными программами критических участков системы; выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы; блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере; предотвращает отключение безопасного режима Windows, блокируя изменения реестра; не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом; не позволяет вредоносному ПО изменить правила запуска программ.

Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы — начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!

Пресекает загрузки новых или неизвестных драйверов без ведома пользователя. Блокирует автозапуск вредоносных программ, а также определенных приложений, например анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска. Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства. Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером. Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.

Dr.Web Process Heuristic работает сразу «из коробки», но пользователь всегда имеет возможность настроить правила контроля исходя из собственных потребностей!

Технология Dr.Web ShellGuard, входящая в состав Dr.Web Script Heuristic, закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (так называемые уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Dr.Web ShellGuard

Dr.Web ShellGuard защищает:

все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser); приложения MS Office, включая новейший MS Office 2016; системные приложения; приложения, использующие java-, flash- и pdf-технологии; медиапроигрыватели.

При обнаружении попытки использования уязвимости Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся. В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется. В журнале событий Dr.Web создается запись о пресечении атаки. Облачная база знаний системы получает немедленное уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него — например, улучшением алгоритма контроля.

Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, в котором собираются:

данные об алгоритмах программ с вредоносными намерениями; информация о заведомо «чистых» файлах; информация о скомпрометированных цифровых подписях известных разработчиков ПО; информация о цифровых подписях рекламного / потенциально опасного ПО; алгоритмы защиты тех или иных приложений.

Источник

Технологии превентивной защиты Dr.Web

Антивирус обязан не допускать заражения. В этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.

Все троянцы делают это:

Действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций. Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).

Начала проявления активности троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Это возможно благодаря разнообразным технологиям Превентивной защиты Dr.Web, действующей на опережение. Они «на лету» анализируют поведение программ и немедленно пресекают вредоносные процессы. По схожести поведения подозрительной программы с известными моделями подобного поведения Dr.Web умеет распознавать и блокировать такие программы. Технологии Превентивной защиты Dr.Web не допускают проникновений новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.

Перечислим только некоторые из этих технологий.

Dr.Web Process Heuristic

В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знания, а значит, известные злоумышленникам правила поведения легитимных программ, интеллектуальная система Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.

Эта технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса — при минимальном потреблении ресурсов защищаемой системы.

Dr.Web Process Heuristic контролирует любые попытки изменения системы:

распознаёт процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков); препятствует попыткам вредоносных программ внедриться в процессы других приложений; защищает от модификаций вредоносными программами критических участков системы; выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы; блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере; предотвращает отключение безопасного режима Windows, блокируя изменения реестра; не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом; не позволяет вредоносному ПО изменить правила запуска программ.

Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы — начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!

Пресекает загрузки новых или неизвестных драйверов без ведома пользователя. Блокирует автозапуск вредоносных программ, а также определенных приложений, например анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска. Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства. Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером. Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.

Dr.Web Process Heuristic работает сразу «из коробки», но пользователь всегда имеет возможность настроить правила контроля исходя из собственных потребностей!

Технология Dr.Web ShellGuard, входящая в состав Dr.Web Script Heuristic, закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (так называемые уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Dr.Web ShellGuard

Dr.Web ShellGuard защищает:

все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser); приложения MS Office, включая новейший MS Office 2016; системные приложения; приложения, использующие java-, flash- и pdf-технологии; медиапроигрыватели.

При обнаружении попытки использования уязвимости Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся. В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется. В журнале событий Dr.Web создается запись о пресечении атаки. Облачная база знаний системы получает немедленное уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него — например, улучшением алгоритма контроля.

Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, в котором собираются:

данные об алгоритмах программ с вредоносными намерениями; информация о заведомо «чистых» файлах; информация о скомпрометированных цифровых подписях известных разработчиков ПО; информация о цифровых подписях рекламного / потенциально опасного ПО; алгоритмы защиты тех или иных приложений.

Облако получает информацию о работе Dr.Web на защищаемом ПК, в том числе об обнаруженных новейших угрозах. Это позволяет оперативно реагировать на выявленные недочеты и обновлять правила, хранящиеся на компьютере локально.

Никакие файлы с компьютера пользователя не передаются на серверы «Доктор Веб»!

Источник

Новые возможности Dr.Web 11.0 для Windows

Новое в версии 11!
Улучшенная технология несигнатурной (поведенческой) блокировки Dr.Web Process Heuristic в системе превентивной защиты Dr.Web убережет от атак с использованием уязвимостей «нулевого дня»

Новая технология Dr.Web ShellGuard закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (т. н. уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Dr.Web ShellGuard защищает самые распространенные приложения, устанавливаемые практически на все компьютеры под управлением Windows:

Неуязвимых систем не существует.

Разработчики ПО стараются оперативно выпускать «заплаты» к известным уязвимостям. Например, компания Microsoft достаточно часто выпускает обновления безопасности. Но часть из них пользователи устанавливают с большим запозданием (или не устанавливают вовсе), что стимулирует злоумышленников как на поиск все новых уязвимостей, так и на использование уже известных, но не закрытых на стороне потенциальных жертв.

Благодаря новой технологии Dr.Web ShellGuard сегодня поведенческий анализатор Dr.Web Process Heuristic в системе превентивной защиты Dr.Web способен:

Интеллектуальная облачная система обновления алгоритмов несигнатурной блокировки Dr.Web ShellGuard

Преимуществом технологии Dr.Web ShellGuard является то, что, анализируя потенциально опасные действия, система защиты опирается не только на знания, хранящиеся на компьютере, но и на данные репутационного облака Dr.Web Cloud, в котором собраны:

Источник

Технологии несигнатурного детектирования

До миллиона потенциально вредоносных образцов поступает в сутки
в вирусную лабораторию «Доктор Веб».

Не всё пришедшее — вредоносные программы. Но все они должны быть обработаны нашими специалистами. Если добавлять знания о каждом новом троянце или вирусе сигнатурами — размер вирусной базы превысит все разумные размеры, и это будут знания только об известных вирусах. А их меньшинство!

Угроза заражения новейшим НЕИЗВЕСТНЫМ вирусом есть ВСЕГДА.

Технологически сложные и особо опасные вирусы, особенно созданные для извлечения коммерческой выгоды, вирусописатели проверяют на обнаружение по всем антивирусам перед тем, как выпустить такой вирус в «живую природу», чтобы вирус существовал незамеченным антивирусами как можно дольше. Поэтому всегда существует временная дельта между выпуском троянца злоумышленниками, попаданием его образца на анализ в вирусную лабораторию и изготовлением противоядия. До поступления образцов таких вирусов в лабораторию они не обнаруживаются ни одним антивирусом — если он использует только сигнатурные методы детектирования (например, бесплатные антивирусы).

Считается, что антивирус обязан обнаруживать
все вредоносные программы в момент их проникновения.

Только 30% вредоносного ПО обнаруживает сигнатурами современный антивирус.

Как Dr.Web обнаруживает еще 70% вредоносного ПО?

В продуктах Dr.Web для обнаружения и обезвреживания неизвестного вредоносного ПО применяется множество эффективных несигнатурных технологий, сочетание которых позволяет обнаруживать новейшие (неизвестные) угрозы до внесения записи в вирусную базу.

Эвристический анализатор

Обнаружение неизвестных вредоносных программ, на основании знаний (эвристики) об определенных особенностях (признаках) вирусов — как характерных именно для вирусного кода, так и, наоборот, крайне редко встречающихся в вирусах.

Эвристики обнаруживают только новые модификации ранее попавших на анализ вредоносных программ, с известным антивирусу поведением.

Технология Origins Tracing ™

Распознавание вирусов, еще не добавленных в вирусную базу Dr.Web, путем сканирования исполняемого файла, который рассматривается как некий образец, построенный характерным образом, и сравнения полученного образца с базой известных вредоносных программ.

Модуль эмуляции исполнения

Обнаружение полиморфных и сложношифрованных вирусов, когда непосредственное применение поиска по контрольным суммам невозможно либо крайне затруднено (из-за невозможности построения надежных сигнатур), путем имитации исполнения анализируемого кода эмулятором — программной моделью процессора (и отчасти компьютера и ОС).

Технология Fly-Code

Качественная проверка упакованных исполняемых объектов.

Распаковка любых (даже нестандартных) упаковщиков методом виртуализации исполнения файла.

Обнаружение вирусов, упакованных даже неизвестными антивирусному ПО Dr.Web упаковщиками.

Комплексный анализатор упакованных угроз

Значительное повышение уровня детектирования якобы «новых угроз» — известных вирусной базе Dr.Web, но скрытых под новыми упаковщиками.

Исключает необходимость добавления в вирусную базу все новых и новых записей об угрозах.

Технология Script Heuristic

Предотвращение исполнения любых вредоносных скриптов в браузере и PDF-документах без нарушения функциональности легитимных скриптов.

Защита от заражения неизвестными вирусами через веб-браузер.

Работа независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.

Технология анализа структурной энтропии

Обнаружение неизвестных угроз по особенностям расположения участков кода в защищенных криптоупаковщиками проверяемых объектах.

Источник