Nous contacter :

+33 3 90 40 40 27

FR RU CN DE EN ES FR JP PL UA

Actualités | Offres spéciales | Licences pour entreprises | Centre de prévention des fraudes en ligne | Notice légale

Les logiciels malveillants peuvent être regroupés par types, utilisant les mêmes points critiques pour pénétrer le système, les mêmes algorithmes et les mêmes fonctions malveillantes.

Grâce à la similitude de comportement entre malwares, l’antivirus Dr.Web peut identifier et bloquer ces logiciels même s'ils ne sont pas encore ajoutés à la base virale Dr.Web.

Ceci est également possible grâce à un ensemble de technologies de protection avancée et ne dépend pas de la disponibilité de signatures dans la base virale. Toutes ces technologies ont été développées par les spécialistes de Doctor Web.

Voici quelques-unes d'entre elles :

La technologie unique de décompression des objets malveillants

Les attaquants passent beaucoup de temps à développer de nouveaux malwares qui ne soient pas détectables par les technologies de détection par signatures ou sans signatures actuelles. Pour minimiser leurs dépenses de développement, les malfaiteurs utilisent des packers, dont le format est inconnu des logiciels d'archivage, ou cryptent ces malwares. La plupart des logiciels antivirus doivent enregistrer une nouvelle entrée (signature) dans la base du noyau antivirus pour détecter une nouvelle menace. Dans ce cas, l'utilisateur sera protégé uniquement lorsqu’il mettra à jour son antivirus.

Dr.Web en tient compte.

  • Dr.Web FLY-CODE — technologie unique de décompression permettant de détecter les virus compressés même par des méthodes inconnues de Dr.Web.
  • L'analyse complète des menaces empaquetées améliore considérablement la détection des soi-disant «nouvelles menaces», connues de la base virale Dr.Web mais dissimulées sous de nouveaux packers. Elle permet d’éviter l’ajout de nombreuses nouvelles entrées à la base virale. La compacité des bases virales Dr.Web permet de ne pas modifier constamment les pré-requis système et assure une compacité des mises à jour, tout en gardant la même qualité de détection et de désinfection.
Les technologies de blocage de processus malveillants par analyse comportementale

Les malfaiteurs chassent les données et l’argent des utilisateurs. Cela les encourage à la création de nouveaux types de logiciels malveillants qui ne doivent pas être détectés ou bloqués par l'antivirus. Chaque année, la possibilité pour qu’un virus pénètre l'ordinateur avant qu'il ne soit analysé par le Laboratoire antivirus augmente. Dans ces conditions, le contrôle du comportement des services système et des applications devient un élément indispensable de la protection antivirus moderne.

  • La technologie intégrée à l’outil d’analyse comportementale Dr.Web Process Heuristics fournit une protection contre les nouveaux programmes malveillants conçus pour éviter d’être détectés par les mécanismes traditionnels basés sur l'analyse par signature ou par l’analyse heuristique classique, qui n’ont par conséquent pas encore été analysés par le Laboratoire, et ne sont pas répertoriés dans la base de données virales Dr.Web au moment de leur intrusion dans le système.

À la différence des outils d’analyse comportementale traditionnels qui utilisent les règles de comportement des logiciels légaux inclus à la base de connaissance , et bien connus des malfaiteurs, Dr.Web Process Heuristic analyse « à la volée » le comportement de chaque logiciel lancé. Il utilise pour cela les données de Dr.Web Cloud et se base sur les connaissances actuelles sur le comportement des logiciels malveillants, puis décide de la dangerosité du logiciel et applique ensuite une action appropriée pour le neutraliser.

Cette technologie de protection des données contre l'endommagement permet de minimiser les pertes liées à l'activité d'un virus inconnu. — avec une consommation minimale des ressources du système protégé.

Dr.Web Process Heuristic détecte toutes les tentatives de modifier le système :

  • les processus malveillants qui modifient les fichiers utilisateur (par exemple les actions des Trojans Encoders) ;
  • empêche la pénétration de logiciels malveillants dans les processus d'autres logiciels malveillants ;
  • protège les points critiques du système contre la modification par les logiciels malveillants ;
  • détecte et stoppe les scripts et les processus malveillants suspects ou non fiables ;
  • interdit la modification des secteurs d'amorçage par les malwares, ce qui empêche le lancement de Trojans sur l'ordinateur ;
  • empêche la désactivation du mode sans échec par l'interdiction de la modification du registre ;
  • ne permet pas aux malwares d'ajouter l'exécution de nouvelles tâches dans la logique du fonctionnement du système d'exploitation ; bloque certains paramètres dans le registre Windows, interdisant ainsi aux virus de modifier l'affichage du bureau ou empêchant un rootkit de masquer sa présence dans le système ;
  • empêche les malwares de modifier les règles de lancement des logiciels.

Dr.Web Process Heuristic assure la sécurité presque depuis le lancement de l'OS - il commence à protéger le système avant le lancement de l'antivirus traditionnel (qui se base sur les signatures) !

  • Il empêche de télécharger de nouveaux pilotes ou des pilotes inconnus à l'insu de l'utilisateur.
  • Il peut empêcher l'autorun des malwares, ainsi que d'autres applications telles que anti-antivirus en interdisant leur enregistrement dans le registre.
  • Il bloque les branches du registre responsables des pilotes des appareils virtuels, ce qui rend impossible l'installation d'un nouvel appareil virtuel.
  • Il bloque la communication entre les composants de logiciels espions et leur serveur de gestion.
  • Il empêche les malwares d’altérer le fonctionnement correct de certains services systèmes comme la création de sauvegardes.

Dr.Web Process Heuristic fonctionne tout de suite, mais l'utilisateur peut toujours le personnaliser en fonction de ses besoins !

La technologie Dr.Web ShellGuard, inclut à Dr.Web Process Heuristics, barre la route aux exploits - des logiciels malveillants qui essaient d'exploiter les vulnérabilités (y compris zero day) afin de prendre le contrôle de l'OS ou des applications.

Il n'existe aucun OS invulnérable.
Les développeurs de logiciels essaient de publier régulièrement des patchs pour corriger les vulnérabilités connues. Microsoft publie par exemple souvent des mises à jour de sécurité. Mais certains utilisateurs les installent avec retard (ou ne les installent pas), ce qui encourage les malfaiteurs à exploiter les vulnérabilités connues et à chercher de nouvelles vulnérabilités.

Dr.Web ShellGuard protège les applications les plus utilisées sous Windows :

  • tous les navigateurs web populaires (Internet Explorer, Mozilla Firefox, Yandex Browser, Google Chrome, Vivaldi Browser) ;
  • applications MS Office, y compris le dernier MS Office 2016 ;
  • applications système ;
  • applications qui utilisent des technologies java, flash, pdf ;
  • lecteurs média

Dr.Web ShellGuard

L'avantage de la technologie Dr.Web ShellGuard est qu’il utilise non seulement les données stockées sur l'ordinateur mais également celles de Dr.Web Cloud, qui contient :

  • des données sur les algorithmes de logiciels comportant des modifications malveillantes ;
  • des données sur les fichiers « sains » ;
  • des données sur les signatures numériques compromises ;
  • des sonnées sur les signatures numériques des logiciels publicitaires/potentiellement dangereux ;
  • des algorithmes de protection des applications.

Le système Cloud comprend également la réception de données sur le fonctionnement de Dr.Web sur le PC protégé, y compris sur les nouvelles menaces, ce qui permet de réagir aux lacunes du système de protection et d’actualiser des règles stockées sur l'ordinateur.

Algorithme de fonctionnement du système.

  • Lorsque Dr.Web détecte une tentative d'utiliser une vulnérabilité, il arrête le processus du logiciel attaqué. L'antivirus n'effectue aucune action sur les fichiers du logiciel, y compris leur déplacement en quarantaine.
  • L'utilisateur recevra une notification ne requérant aucune réaction de sa part.
  • Dr.Web enregistre dans ses la prévention de l’attaque.
  • La base de données Cloud reçoit également l’information. Si nécessaire, les spécialistes de Doctor Web répondent instantanément en améliorant par exemple l'algorithme de contrôle.

La protection préventive est disponible dans les licences Dr.Web Security Space et Dr.Web Antivirus pour Windows

Les technologies de détection des logiciels malveillants similaires à ceux déjà ajoutés à la base de connaissance du noyau antivirus Dr.Web

Chaque jour, le Laboratoire antivirus Doctor Web analyse des centaines de milliers d’échantillons de malwares ! Ce nombre ne cesse d'augmenter — En savoir plus sur http://live.drweb.com/.

Dans ces conditions, le niveau de protection du PC dépend largement de la vitesse de réception et d’analyse d’un nouveau malware par le Laboratoire antivirus. Mais l'utilisateur de Dr.Web reste protégé avant l'obtention de la mise à jour.

  • La technologie unique Origins Tracing™ de détection non basée sur les signatures permet à Dr.Web de détecter les virus inconnus de la base virale Dr.Web.
  • Le moteur d'analyse heuristique de Dr.Web dont l’analyse se fonde sur des caractéristiques typiques de différents groupes de malwares, détecte la plupart des menaces connues.

Personnalisation de la protection préventive de Dr.Web pour Windows

Les paramètres de Dr.Web pour Windows sont disponibles à l'onglet « Protection préventive ».

Il existe quatre modes de paramètres disponibles pour l'utilisateur : optimal (activé par défaut), moyen, paranoïde et utilisateur.

screen Le mode optimal prévoit la protection des branches du registre utilisées par les logiciels malveillants qui peuvent être bloquées (interdire la modification) sans charge significative sur les ressources de l'ordinateur.
Lorsque vous augmentez le niveau de la protection préventive, le système est plus soigneusement protégé contre les logiciels malveillants, encore inconnus de la base virale Dr.Web, mais cela augmente en même temps le risque de conflit entre les interdictions de la protection préventive et les besoins des applications lancées. screen

Personnalisation de la protection préventive de Dr.Web pour Windows

Nous allons décrire les fonctions de chaque paramètre.

screen

Fichier HOSTS

Ce fichier permet de définir la correspondance entre le nom du domaine hôte et son adresse IP. La priorité du traitement du fichier HOSTS est plus élevée que la priorité d'accès au serveur DNS.

L’accès au fichier HOSTS permet aux malfaiteurs de bloquer l'accès aux sites de sociétés antivirus et de rediriger les utilisateurs vers des faux sites.

La protection préventive de Dr.Web empêche les malwares de modifier le fichier HOSTS et de rediriger les utilisateurs vers des ressources de phishing.

L'intégrité des applications en cours d'exécution

Le processus est un ensemble de ressources et de données qui se trouvent dans la RAM de l'ordinateur. Chaque logiciel possède son propre processus qui ne doit pas modifier celui d'un autre logiciel. Mais les logiciels malveillants, par exemple, le Trojan.Encoder.686 (CTB-Locker). viole cette règle .

screen
La protection préventive de Dr.Web empêche les logiciels malveillants de s'intégrer aux processus d'autres logiciels (avec, par exemple, l'interdiction de modifier le processus du navigateur afin d'obtenir l'accès au système de banque en ligne), ce qui les empêche de mettre en œuvre leurs fonctionnalités.
screen

L'intégrité des fichiers

Certains logiciels malveillants de la famille des ransomwares cryptent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les décrypter. Cette option permet de se protéger contre les Trojans Encoders, par exemple, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.686 (CTB-Locker).

La protection préventive Dr.Web détecte les processus malveillants qui modifient les fichiers utilisateur et bloque les actions des Trojans Encoders.

L'accès au bas niveau du disque

Dans le système d'exploitation Windows, l'accès aux fichiers est assuré par l’envoi de requêtes au système de fichiers, contrôlé par l'OS. Les Trojans-bootkits modifient les secteurs d'amorçage du disque directement, en évitant le système de fichiers Windows et en s'adressant à certains secteurs du disque.

L'intégration du Trojan dans le secteur d'amorçage rend difficile sa détection et sa neutralisation.

screen
La protection préventive Dr.Web interdit la modification des secteurs d'amorçage par les malwares, ce qui empêche le lancement des Trojans sur l'ordinateur.
screen

Téléchargement de pilotes

Beaucoup de rootkits lancent de façon masquée leurs pilotes et services pour dissimuler leur présence dans le système ou exécuter des actions non autorisées, par exemple l'envoi de logins et de mots de passe etc.

La protection préventive Dr.Web empêche de télécharger de nouveaux pilotes ou des pilotes inconnus à l'insu de l'utilisateur.

Paramètres de lancement des applications

Dans le registre Windows, il existe la clé (entry) Image File Execution Options permettant d'assigner à n'importe quelle application Windows un débogueur (le logiciel qui permet au programmeur de déboguer le code, ainsi que de modifier les données du processus de débogage). À l'aide de cette clé, le malware, assigné comme le débogueur pour un processus système ou une application (par exemple, Internet Explorer ou Explorateur Windows), reçoit l'accès complet à ce qui intéresse les malfaiteurs.

screen
La protection préventive Dr.Web bloque l'accès à la clé du registre Image File Execution Options.
Les utilisateurs n'ont pas de nécessité réelle de déboguer les applications, mais le risque de l'utilisation d’Image File Execution Options par un malware est très haut.
screen

Pilotes de périphériques multimédia

Certains malwares créent des fichiers exécutables et les enregistrent comme des appareils virtuels.

La protection préventive Dr.Web bloque les branches du registre responsables des pilotes des appareils virtuels, ce qui rend impossible l'installation d'un nouvel appareil virtuel.

Paramètres du shell Winlogon, Notificateurs Winlogon

L'interface Winlogon notification package traite les événements assignés aux logon et logout des utilisateurs, l'arrêt et le démarrage du système. A l'aide de Winlogon notification package, les malwares peuvent redémarrer l'OS, arrêter l'ordinateur, empêcher le logon de l'utilisateur. C'est le cas des Trojan.Winlock.3020, Trojan.Winlock.6412.

screen
screen
La protection préventive Dr.Web interdit la modification des branches du registre responsables du Winlogon notification package et ne permet pas aux malwares d'ajouter l'exécution de nouvelles tâches dans la logique du fonctionnement du système d'exploitation.
screen

Exécution automatique du shell Windows

L'option bloque plusieurs paramètres du registre Windows dans la branche [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: par exemple, AppInit_DLLs (assure que Windows télécharge les DLL spécifiés lors du lancement d'une application), AppInit_DLLs (peut être utilisé pour intégrer un rootkit), Run (nécessaire pour lancer l'application après le démarrage de l'OS), IconServiceLib (responsable du téléchargement de la bibliothèque IconCodecService.dll, nécessaire pour l'affichage correct du bureau et de ses icônes).

La Protection préventive Dr.Web bloque certains paramètres dans le registre Windows, interdisant ainsi aux virus de modifier l'affichage correct du bureau ou empêchant un rootkit de cacher sa présence dans le système.

Associations de fichiers exécutables

Certains logiciels malveillants violent les associations de fichiers. Ainsi, les logiciels ne se lancent pas ou mal, au lieu du logiciel requis par l'utilisateur, se lance un logiciel affecté par un malware.

screen
La protection préventive Dr.Web empêche les malwares de modifier les règles de lancement des logiciels.
screen

Stratégies de restriction logicielle (SRP)

Windows permet de paramétrer des Stratégies de restriction logicielle(SRP). Cela permet de lancer des logiciels depuis certains dossiers (par exemple, ProgrammFiles) et d’interdire leur lancement depuis les autres dossiers. Le blocage de la branche du registre responsable du paramétrage de SRP interdit de modifier les politiques configurées, ce qui renforce la protection déjà mise en place.

La protection préventive Dr.Web permet de protéger votre système contre les logiciels malveillants qui pénètrent l'ordinateur via la messagerie et/ou les supports amovibles lancés depuis les répertoires temporaires. Cette option est recommandée pour les entreprises.

Plugins Internet Explorer (BHO)

Ce paramètre permet d'interdire l'installation de nouveaux plugins pour Internet Explorer en bloquant la branche de registre appropriée.

screen
La protection préventive Dr.Web protège le navigateur contre les plugins malveillants, par exemple les « bloqueurs » de navigateurs.
screen

Autorun de logiciels

Interdit la modification des branches du registre responsables de l'autorun des logiciels.

La protection préventive Dr.Web peut empêcher l'autorun des malware en interdisant leur enregistrement dans le registre.

Autorun des politiques

Cette option verrouille la branche du registre qui permet de lancer un logiciel au moment du logon de l'utilisateur.

screen
La protection préventive Dr.Web peut empêcher l'autorun de logiciels, par exemple les anti-antivirus.
screen

Configuration du mode sans échec

Certains Trojans désactivent le mode sans échec Windows pour rendre difficile le traitement de l'ordinateur.

La protection préventive Dr.Web empêche la désactivation du mode sans échec par l'interdiction de la modification du registre.

Paramètres du gestionnaire de sessions

Cette option protège les paramètres du gestionnaire de sessions Windows - système qui assure la stabilité du système d'exploitation. Sinon, les malwares peuvent initialiser des variables d'environnement, exécuter un certain nombre de processus système, supprimer, déplacer ou copier des fichiers avant le démarrage complet du système d'exploitation etc.

screen
La protection préventive Dr.Web protège le système d'exploitation contre le lancement des logiciels malveillants avant que le système d'exploitation ne démarre complètement (y compris le démarrage de l'antivirus).
screen

Services système

Cette option protège les paramètres du registre responsables du fonctionnement correct des services système.

Certains virus peuvent bloquer l'éditeur du registre, empêchant le travail normal de l'utilisateur. Ils suppriment par exemple les raccourcis des logiciels installés sur le bureau ou ne permettent pas de déplacer les fichiers.

La protection préventive Dr.Web empêche les malwares d’altérer le fonctionnement correct de certaines services systèmes, par exemple empêcher la création de sauvegardes.

Pour entreprises

Bundles économiques

Services Internet pour les fournisseurs de services

Utilitaires de désinfection

Pour les prestataires de services IT

Services