Kriminalne skupine, ki so vpletene v razvoj in razširjanje virusov, so izjemno organizirane, kar pomeni, da je nastajanje virusov postala poenostavljena praksa, to pa vodi v eksplozivno rast količine zlonamerne programske opreme. Iz tega razloga je bila takoj ustvarjena dnevna evidenca v podatkovne baze virusov.

Dejstva

  • Storitev nadzora virusov Doctor Web zbira vzorce zlonamernih programov po celotnem spletu.
  • Protivirusni laboratorij Dr.Web sprejema v povprečju približno 60.000 vzorcev zlonamerne programske opreme dnevno.
  • Rekord tovrstne prakse je nastopil 28.11.2012, ko je protivirusni laboratorij Dr.Web sprejel preko 300.000 vzorcev. V to število niso všteti vsi zlonamerni programi, ki so bili ustvarjeni na ta dan.

Analizatorji za viruse niso čarodeji in ne morejo takoj obdelati na tisoče in tisoče sumljivih datotek, katere sprejmejo vsak dan. Tistih časov, kjer je bilo možno ujeti zlonamerne programe samo z uporabo relevantnih virusnih podpisov (npr. zapisi v podatkovni bazi virusov – kjer se zaznajo samo znani virusi), že dolgo ni več. Če bi temu še danes bilo tako, bi protivirusni programi bili neuporabni za neznane grožnje. Kljub temi pa je protivirusna programska oprema najboljša in najučinkovitejša zaščitna oprema za vse tipe zlonamernih groženj – in še najpomembnejše – proti virusom, tako znanih in neznanih glede na podatkovno bazo virusov.

Dr.Web zajema veliko učinkovitih tehnologij brez podpisa za zaznavanje in odstranjevanje zlonamerne programske opreme. Vse tehnologije skupaj omogočajo zaznavanje najnovejših (neznanih) groženj, preden so registrirane v podatkovni bazi virusov. Opisali bomo samo nekaj tehnologij.

Tehnologija Fly-Code zagotavlja visokokakovostno skeniranje zapakiranih izvedljivih datotek in virtualizirane izvedbe datotek za razširjanje katerihkoli (tudi nestandardnih) arhivov; to omogoča tudi zaznavanje virusov, ki niso znani podatkovni bazi protivirusnega programa Dr.Web.

Sledenje izvora obravnava izvedljive datoteke kot specifične vzorce, katere nato primerja z zlonamernimi programi, ki so že v podatkovni bazi virusov. Tehnologija nakazuje, da bodo virusi najverjetneje zaznani, kljub temu, da še niso bili dodani v podatkovno bazo virusov Dr.Web.

Strukturna analiza entropije zaznava neznane grožnje tako, da ureja koščke kod v objektih, ki so zaščiteni s šifrirano kompresijo in prekinja rutino, katero uporabljajo ter uporablja nekoliko dodatnih parametrov. To programu Dr.Web omogoča zaznavanje ogromnega deleža neznanih groženj.

Tehnologija ScriptHeuristic preprečuje izvrševanje vsem zlonamernim skriptam brskalnikov in PDF dokumentom, brez onemogočanja funkcij, ki so bile priskrbljene s strani legitimnih skript. Tehnologija ščiti pred okužbo z neznanimi virusi, ki poskušajo vdreti v sistem skozi spletni brskalnik. Deluje neodvisno od podatkovne baze virusov Dr.Web v kateremkoli spletnem brskalniku.

Tradicionalni hevristični analizator vsebuje rutine za zaznavanje neznane zlonamerne programske opreme. Hevristični analizator se zanaša na znanje (hevristiko) za določene lastnosti, tipične za virusno kodo in obratno kodo, ki so izjemno redki pri virusih. Vsi atributi so karakterizirani s svojo “težo“ – to nam pove število modulov, ki se nanaša na pomembnost in pogostost atributa; in njegovo znamenje, oziroma indikacija ali atribut potrjuje ali zavrača hipotezo o morebitnem obstoju neznanega virusa v kodi, ki se analizira.

Emulacijski modul za izvedbo se uporablja za zaznavanje polimorfnih in izjemno šifriranih virusov, ko iskanje kontrolnih podatkov ni mogoče neposredno uporabiti ali ko je to zelo težko izvesti (ker varnostnih podpisov ni možno ustvariti). Metoda vključuje simulacijo izvedbe analizirane kode s strani emulatorja – programski model procesorja (delno tudi v osebnem računalniku in OS).

Podatkovna baza virusov Dr.Web

  • Protivirusna programska oprema Dr.Web v svoji podatkovni bazi uporablja zapise manjšega števila definicij virusa: en vnos lahko identificira ducat, na stotine ali celo na tisoče podobnih virusov. To je bistvena razlika med podatkovno bazo virusov Dr.Web in podatkovnimi bazami virusov drugih programov. Program lahko zazna enako (ali celo večje) število zlonamerne programske opreme tudi v primeru manjšega števila vnosov. Tudi v primeru manjšega števila vnosov.
  • Tudi, če v podatkovni bazi virusov ni prisotnih definicij virusov, bo programska oprema Dr. Web najverjetneje zaznala viruse prav zaradi mnogih tehnologij, ki so implementirane v iskalnik virusov.
  • Podatkovne baze virusov so zasnovane tako, da dodajanje novih vnosov ne zniža hitrosti procesa skeniranja.

Kaj so prednosti male podatkovne baze virusov z malim številom vnosov?

  • Prihranjen prostor na trdem disku
  • Nižja poraba spomina
  • Manjši promet pri posodabljanju
  • Hitra analiza virusov
  • Zaznavanje bodočih sprememb obstoječih virusov