PL RU CN DE EN ES FR JP PL UA

Wiadomości & Wydarzenia | Kreator licencji | Firma

Technologie silnika antywirusowego Dr.Web

Grupy przestępcze zajmujące się pisaniem i rozsiewaniem wirusów są bardzo dobrze zorganizowane, zatem produkcja wirusów przebiega w sposób uproszczony, co prowadzi do wzrostu ilości złośliwego oprogramowania w postępie geometrycznym. To z kolei powoduje konieczność dodawania do baz danych wirusów setek sygnatur dziennie.

Fakty

  • Usługa monitorowania wirusów firmy Doctor Web zbiera próbki złośliwych programów ze wszystkich zakątków Internetu.
  • Laboratorium antywirusowe Dr.Web otrzymuje około 60 tysięcy próbek złośliwego oprogramowania dziennie.
  • Swego rodzaju rekord ustanowiono 28 listopada 2012 roku, gdy laboratorium otrzymało ponad 300 tysięcy próbek. A nie były to przecież wszystkie złośliwe programy stworzone tego dnia.

Osoby analizujące wirusy nie są magikami i nie są w stanie natychmiast przetworzyć dziesiątek tysięcy codziennie otrzymywanych podejrzanych plików. Dawno minęły już czasy, gdy programy antywirusowe mogły wyłapać złośliwe oprogramowanie posługując się jedynie odpowiednim sygnaturami (tj. rekordami w bazach danych wirusów) — czyli potrafiły wykryć jedynie znane sobie wirusy. Gdyby tak było i dzisiaj, każdy antywirus byłby bezradny wobec nieznanych zagrożeń. Mimo to antywirusy wciąż są najlepszym i jednym skutecznym narzędziem ochrony przed wszystkimi rodzajami złośliwych zagrożeń, a co najważniejsze, przed wirusami znanymi i nieznanymi bazie danych.

W programie Dr.Web wykorzystuje się liczne wydajne technologie wykrywania i usuwania złośliwego oprogramowania, które nie bazują na sygnaturach. Łącznie umożliwiają one wykrycie najnowszych (nieznanych) zagrożeń zanim zostaną one zarejestrowane w bazach danych. Poniżej opiszemy kilka przykładów.

  • Technologia FLY-CODE zapewnia wysokiej jakości skanowanie plików wykonywanych spakowanych i wykonywanych w trybie wirtualizacji, rozpakowując dowolne (nawet niestandardowe) programy pakujące. Dzięki temu możliwe jest wykrycie nawet wirusów nieznanych oprogramowaniu antywirusowemu Dr.Web.
  • Technologia
  • Origins Tracing traktuje skanowany plik wykonywalny jako swoistą próbkę wirusa, która porównywana jest z bazą znanych złośliwych programów. Technologia ta zapewnia duże prawdopodobieństwo wykrycia wirusów, które nie zostały jeszcze dodane do bazy programu Dr.Web.
  • Analiza entropii strukturalnej wykrywa nieznane zagrożenia poprzez odpowiednie układanie fragmentów kodu w obiektach chronionych kompresją i szyfrowaniem, przerywanie ich procedur i wykorzystanie pewnych dodatkowych parametrów. Technologia ta odpowiada za wykrywanie przez Dr.Web znacznej części nieznanych zagrożeń.
  • Technologia
  • ScriptHeuristic zapobiega wykonaniu kodu wykonalnego złośliwych skryptów przeglądarki i dokumentów PDF, jednocześnie nie blokując funkcji skryptów bezpiecznych. Technologia ta chroni przed infekcją nieznanymi wirusami próbującymi przedostać się do systemu przez przeglądarkę internetową. Działa ona w każdej przeglądarce, niezależnie od baz danych wirusów programu Dr.Web.
  • Tradycyjny analizator heurystyczny stosuje algorytmy wykrywania nieznanego złośliwego oprogramowania. Jego działanie opiera się na wiedzy (heurystyce) o określonych właściwościach kodu wirusowego z jednej strony oraz elementach niezwykle rzadko występujących w wirusach z drugiej. Każdy z tych atrybutów cechuje się określoną wagą, tzn. liczbą odnoszącą się do ważności tego atrybutu, której znak oznacza odpowiednio, czy dany atrybut potwierdza czy zaprzecza hipotezie potencjalnego występowania w analizowanym kodzie nieznanego wirusa.
  • Do wykrywania wirusów polimorficznych i wysoce zaszyfrowanych
  • stosuje się moduł emulujący wykonywanie kodu, gdy wyszukiwanie sum kontrolnych nie może zostać zastosowane bezpośrednio albo gdy jego zastosowanie jest znacznie utrudnione (z uwagi na niemożność wygenerowania bezpiecznych sygnatur). W technologii tej symuluje się wykonanie analizowanego kodu w emulatorze, tj. modelu programowym modelu procesora (oraz częściowo reszty sprzętu i systemu operacyjnego).

Baza danych wirusów programu Dr.Web

  • Programy antywirusowe Dr.Web korzystają z rekordowo niskiej liczby definicji wirusów zawartych w bazie danych; jeden rekord może służyć do zidentyfikowania dziesiątek, setek, a nawet tysięcy podobnych wirusów. Oto zasadnicza różnica między bazą danych wirusów programu Dr.Web a bazami innych programów antywirusowych. Nawet dysponując mniejszą liczbą rekordów program Dr.Web potrafi wykryć taką samą (albo nawet większą) liczbę złośliwych programów.
  • Nawet jeśli w bazie danych wirusów brak jest definicji wirusa, program Dr.Web z dużym prawdopodobieństwem wykryje go dzięki jednej z licznych technologii zastosowanych w silniku antywirusa.
  • Bazy danych wirusów Dr.Web są pomyślane tak, aby dodawanie nowych rekordów nie zmniejszało prędkości skanowania.

Jakie korzyści płyną z małej bazy danych wirusów o mniejszej liczbie rekordów?

  • Oszczędność miejsca na dysku
  • Mniejsza zajętość pamięci
  • Mniejszy ruch związany z aktualizacjami
  • Szybka analiza wirusów
  • Wykrywanie przyszłych modyfikacji znanych wirusów

Ważne!

Codziennie miliony ludzi na całym świecie korzystają z unikatowego produktu Dr.Web CureIt!, stworzonego specjalnie do leczenia zainfekowanych komputerów, na których uruchamiane są inne antywirusy.

Ważne!

Nowoczesne złośliwe oprogramowanie często działa w sposób niewidoczny dla użytkowników i od momentu powstania pozostaje niewykrywalne dla wielu programów antywirusowych. Tylko antywirus jest w stanie wyleczyć zainfekowany system.