RU RU CN DE EN ES FR JP PL UA

Новости | Мероприятия | Скидки | Лицензирование | Центр противодействия кибер-мошенничеству | Клиенты | О компании

Многие вредоносные программы действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций.

По схожести поведения подозрительной программы с известными моделями подобного поведения система антивирусной защиты Dr.Web умеет распознать и блокировать такие программы — даже если записи о них еще не внесены в вирусную базу Dr.Web.

Это возможно благодаря целому набору разнообразных технологий превентивной защиты, действующей на опережение и не зависящей от наличия соответствующих записей (сигнатур) в вирусной базе. Все эти технологии разработаны только специалистами компании «Доктор Веб».

Перечислим только некоторые из них.

Технологии универсальной распаковки вредоносных объектов

Злоумышленниками приходится тратить немало времени на разработку каждой новой вредоносной программы, которая не будет распознаваться сигнатурными или несигнатурными технологиями антивируса, а также на тестирование возможностей актуальной версии антивирусной защиты детектировать созданный ими новый вредоносный объект. Чтобы избежать этих трудозатрат, киберпреступники упаковывают вредоносные программы в упаковщики, формат которых не известен ни одному архиватору, или шифруют их. Большинству антивирусных программ для того, чтобы распознать такую упакованную или зашифрованную программу, требуется добавить новую запись (сигнатуру) в антивирусное ядро, а это означает, что до получения обновления вирусной базы пользователи будут беззащитны.

Dr.Web действует с учетом этого.

  • Технология Dr.Web FLY-CODE — не имеющая аналогов технология универсальной распаковки — позволяет обнаружить вирусы, упакованные даже неизвестными Dr.Web упаковщиками.
  • Комплексный анализатор упакованных угроз значительно повышает уровень детектирования якобы «новых угроз» — известных вирусной базе Dr.Web, но скрытых под новыми упаковщиками, а также исключает необходимость добавления в базы все новых и новых записей об угрозах. Сохранение компактности вирусных баз Dr.Web, в свою очередь, не требует постоянного увеличения системных требований и обеспечивает традиционно малый размер обновлений — при традиционно неизменно высоком качестве детектирования и лечения.
Технологии блокировки вредоносных процессов на основе поведенческого анализа

Современные злоумышленники охотятся за данными и деньгами. Это стимулирует их на создание все новых типов вредоносных программ, которые не должны распознаваться или блокироваться антивирусом и другими средствами защиты. С каждым годом возрастает риск проникновения вредоносной программы на компьютеры до того, как ее образец попадет к аналитикам антивирусной компании. В этих условиях важнейшим элементом современной антивирусной защиты становится контроль поведения сервисов операционной системы и запущенных в ней программ.

  • Технология поведенческого анализа Dr.Web Process Heuristic защищает от проникновения новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами , — объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.

В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знаний, а значит, известные злоумышленникам, правила поведения легитимных программ, Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.

Данная технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса — при минимальном потреблении ресурсов защищаемой системы.

Dr.Web Process Heuristic контролирует любые попытки изменения системы:

  • распознает процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков);
  • препятствует попыткам вредоносных программ внедриться в процессы других приложений;
  • защищает от модификаций вредоносными программами критических участков системы;
  • выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы;
  • блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере;
  • предотвращает отключение безопасного режима Windows, блокируя изменения реестра.
  • не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, изменить вирусам нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом;
  • не позволяет вредоносному ПО изменить правила запуска программ.

Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы - он начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!

  • Пресекает загрузки новых или неизвестных драйверов без ведома пользователя.
  • Блокирует автозапуск вредоносных программ, а также определенных приложений, например, анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска.
  • Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства.
  • Блокирует коммуникации между компонентами шпионского ПО и управляюшим им сервером.
  • Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например, вмешаться в штатное создание резервных копий файлов.

Dr.Web Process Heuristic работает сразу «из коробки» - но пользователь всегда имеет возможность настроить правила контроля, исходя из собственных потребностей!

Технология Dr.Web ShellGuard, входящая в состав Dr.Web Script Heuristics, закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (т. н. уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Неуязвимых систем не существует.
Разработчики ПО стараются оперативно выпускать «заплаты» к известным уязвимостям. Например, компания Microsoft выпускает достаточно часто обновления безопасности. Но часть из них пользователи устанавливают с большим запозданием (или не устанавливают вовсе), что стимулирует злоумышленников как на поиск все новых уязвимостей, так и на использование уже известных, но не закрытых на стороне потенциальных жертв.

Dr.Web ShellGuard защищает самые распространенные приложения, устанавливаемые практически на все компьютеры под управлением Windows:

  • все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
  • приложения MS Office, включая новейший MS Office 2016;
  • системные приложения;
  • приложения, использующие java-, flash- и pdf-технологии;
  • медиапроигрыватели.

Интеллектуальная облачная система обновления алгоритмов несигнатурной блокировки Dr.Web ShellGuard

Преимуществом технологии Dr.Web ShellGuard является то, что, анализируя потенциально опасные действия, система защиты опирается не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, в котором собираются:

  • данные об алгоритмах программ с вредоносными намерениями;
  • информация о заведомо «чистых» файлах;
  • информация о скомпрометированных цифровых подписях известных разработчиков ПО;
  • информация о цифровых подписях рекламного/потенциально опасного ПО;
  • алгоритмы защиты тех или иных приложений.

Облачная система включает средства получения информации о работе Dr.Web на защищаемом ПК, в том числе об обнаруженных новейших угрозах, что позволяет оперативно реагировать на выявленные в работе системы недочеты и обновлять правила, хранящиеся на компьютере локально.

Алгоритм работы системы

  • При обнаружении попытки использования уязвимости Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся.
  • В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется.
  • В журнале событий Dr.Web создается запись о пресечении атаки.
  • Облачная база знаний системы получает немедленное уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него, например, улучшением алгоритма контроля.

Превентивная защита входит в состав лицензий Dr.Web Security Space и Антивирус Dr.Web для Windows

Технологии обнаружения вредоносных программ, подобных ранее уже попавшим в базу знаний антивирусного ядра Dr.Web

Количество поступающих в антивирусную лабораторию вредоносных программ исчисляется сотнями тысяч в день! И это число растет — зайдите на http://live.drweb.com/ и убедитесь сами.

В этих условиях уровень защиты ПК во многом определяется тем, насколько быстро поступившая новая вредоносная программа будет обработана в антивирусной лаборатории. Но и до момента выпуска обновлений пользователь Dr.Web не остается без защиты.

  • Уникальная технология несигнатурного поиска Origins Tracing™ позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще не известные вирусной базе Dr.Web.
  • Эвристический анализатор Dr.Web надежно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам.

Настройка превентивной защиты Dr.Web для Windows

Управление настройками производится в Dr.Web для Windows на вкладке «Превентивная защита».

Пользователю предлагаются четыре режима настроек: оптимальный (включен разработчиками по умолчанию), средний, параноидальный и пользовательский.

screen В оптимальном режиме защищены только те ветки реестра, которые используются вредоносными программами и которые можно заблокировать (запретить их изменение) — без значительной нагрузки на ресурсы компьютера.
При повышении режима превентивной защиты система более тщательно защищается от действий вредоносного ПО, еще неизвестного вирусной базе Dr.Web, но одновременно возрастает риск возникновения конфликтов между запретами превентивной защиты и нуждами запущенных приложений. screen

Настройки превентивной защиты Dr.Web для Windows

Рассмотрим подробнее, что дает пользователю включение каждой настройки.

screen

Файл HOSTS

Этот файл позволяет определить соответствие между доменным именем хоста и его IP-адресом. Приоритет обработки файла HOSTS выше, чем приоритет обращения к DNS-серверу.

Файл HOSTS позволяет злоумышленникам блокировать доступ к сайтам антивирусных компаний и перенаправлять пользователей на поддельные сайты.

Превентивная защита Dr.Web не дает возможность вредоносным программам вносить изменения в файл HOSTS и перенаправлять пользователей на фишинговые ресурсы.

Целостность запущенных приложений

Процесс — это набор ресурсов и данных, которые находятся в оперативной памяти компьютера. Процесс, принадлежащий одной программе, не должен изменять процесс другой программы. Но вредоносные программы, например, Trojan.Encoder.686 (CTB-Locker). нарушают это правило.

screen
Превентивная защита Dr.Web не позволяет вредоносным программам внедряться в процессы других программ (например, запрещает троянцам изменять процесс браузера для получения доступа к системе ДБО), тем самым не давая им реализовать свой функционал полностью или частично.
screen

Целостность файлов пользователей

Некоторые вредоносные программы из класса вымогателей (ransomware) шифруют пользовательские данные и требуют выкуп за их расшифровку. Включение этой опции помогает защищаться от троянцев-шифровальщиков, например, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.686 (CTB-Locker).

Превентивная защита Dr.Web распознает процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы, и блокирует действия троянцев-шифровальщиков.

Низкоуровневый доступ к диску

При штатной работе операционной системы Windows доступ к файлам происходит путем обращения к файловой системе, которая подконтрольна ОС. Троянцы-буткиты, изменяющие загрузочные области диска, обращаются к диску напрямую, минуя файловую систему Windows — обращаясь к определенным секторам диска.

Внедрение троянца в загрузочную область существенно затрудняет как его обнаружение, так и процесс обезвреживания.

screen
Превентивная защита Dr.Web блокирует возможность изменения вредоносными программами загрузочных областей диска и предотвращает запуск троянцев на компьютере.
screen

Загрузка драйверов

Многие руткиты скрытно запускают свои драйверы и службы для маскировки своего присутствия на компьютере и выполнения несанкционированных пользователем действий, например отправки логинов и паролей, а также иных идентификационных сведений злоумышленникам.

Превентивная защита Dr.Web не дает возможности загрузки новых или неизвестных драйверов без ведома пользователя.

Параметры запуска приложений

В реестре ОС Windows существует ключ (entry) Image File Execution Options, с помощью которого для любого приложения Windows можно назначить отладчик —программу, которая помогает программисту в отладке написанного кода, в том числе позволяя модифицировать данные отлаживаемого процесса. С помощью данного ключа вредоносное ПО, будучи назначенным отладчиком какого-нибудь системного процесса или приложения (например, того же Internet Explorer или проводника), получает полный доступ к тому, что интересует злоумышленников.

screen
Превентивная защита Dr.Web блокирует доступ к ключу реестра Image File Execution Options.
Реальной необходимости отлаживать приложения на лету у обычных пользователей нет, а риск от использования ключа Image File Execution Options вредоносными программами очень высок.
screen

Драйверы мультимедийных устройств

Известны некоторые вредоносные программы, которые создают исполняемые файлы и регистрируют их как виртуальные устройства.

Превентивная защита Dr.Web блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможным установку нового виртуального устройства.

Параметры оболочки Winlogon, Нотификаторы Winlogon

Интерфейс Winlogon notification package реализует возможность обрабатывать события, назначаемые на вход и выход пользователей, включение и выключение операционной системы, и некоторые другие. Вредоносные программы, получив доступ к Winlogon notification package, могут перезагружать ОС, выключать компьютер, препятствовать входу пользователей в рабочую среду ОС. Так поступают, например, Trojan.Winlock.3020, Trojan.Winlock.6412.

screen
screen
Превентивная защита Dr.Web запрещает изменение веток реестра, отвечающих за Winlogon notification package, и не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы.
screen

Автозапуск оболочки Windows

Опция блокирует сразу несколько параметров в реестре Windows в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: например, AppInit_DLLs (заставляет Windows загружать указанные DLL каждый раз, когда запускается какая-либо программа), AppInit_DLLs (может использоваться для внедрения руткита в Windows), Run (необходим для запуска программ в минимизированном виде после запуска операционной системы), IconServiceLib (отвечает за загрузку библиотеки IconCodecService.dll, которая необходима для нормального отображения рабочего стола и значков на экране).

Превентивная защита Dr.Web блокирует ряд параметров в реестре Windows, например, запрещая вирусам изменить нормальное отображение Рабочего стола или не позволяя руткиту скрыть присутствие троянца в системе.

Ассоциации исполняемых файлов

Некоторые вредоносные программы нарушают ассоциации исполняемых файлов, в результате чего программы не запускаются – или вместо нужной пользователю программы запускается программа, назначенная вредоносным ПО.

screen
Превентивная защита Dr.Web не позволяет вредоносному ПО изменить правила запуска программ.
screen

Политики ограничения запуска программ (SRP)

В Windows можно настроить систему ограничения запуска программ (SRP) таким образом, чтобы разрешить запуск программ только из определенных папок (например, ProgrammFiles) и запретить выполнение программ из прочих источников. Блокировка ветки реестра, отвечающей за настройку политик SRP, запрещает вносить изменения в уже настроенные политики, таким образом усиливая уже реализованную защиту.

Превентивная защита Dr.Web позволяет защитить систему от вредоносного ПО, попадающего на компьютер через почту и съемные носители — и запускающегося, например, из временного каталога. Опция рекомендуется к использованию в корпоративной среде.

Плагины Internet Explorer (BHO)

С помощью данной настройки можно запретить установку новых плагинов для Internet Explorer путем блокирования соответствующей ветки реестра.

screen
Превентивная защита Dr.Web защищает браузер от вредоносных плагинов, например от блокировщиков браузера.
screen

Автозапуск программ

Запрещает изменение нескольких веток реестра, ответственных за автозапуск приложений.

Превентивная защита Dr.Web позволяет предотвратить автозапуск вредоносных программ, не давая им зарегистрироваться в реестре для последующего запуска.

Автозапуск политик

Опция блокирует ветку реестра, с помощью которой можно запустить любую программу при входе пользователя в систему.

screen
Превентивная защита Dr.Web позволяет предотвратить автозапуск определенных программ, например анти-антивирусов.
screen

Конфигурация безопасного режима

Некоторые троянцы отключают безопасный режим Windows для затруднения лечения компьютера.

Превентивная защита Dr.Web предотвращает отключение безопасного режима путем блокировки изменения реестра.

Параметры менеджера сессий

Опция защищает параметры диспетчера сеансов Windows – системы, от которой зависит стабильность работы операционной системы. При отсутствии такой блокировки вредоносные программы получают возможность инициализации переменных окружения, запуска ряда системных процессов, выполнения операций по удалению, перемещению или копированию файлов до полной загрузки системы и т. п.

screen
Превентивная защита Dr.Web защищает операционную систему от внедрения вредоносных программ, их запуска до полной загрузки операционной системы — и, следовательно, до завершения запуска антивируса.
screen

Системные службы

Опция защищает изменение параметров реестра, отвечающих за нормальную работу системных служб.

Некоторые вирусы могут блокировать редактор реестра, затрудняя нормальную работу пользователя. Например, очищают Рабочий стол от ярлыков установленных программ или не дают перемещать файлы.

Превентивная защита Dr.Web не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.

Продукты

Комплекты

Программные комплексы

Антивирус как услуга

Утилиты

Производителям и провайдерам

Услуги