Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Analyse du comportement

Dans les versions Dr.Web 9 - 11.5, ce module portait le nom Protection préventive.

Grâce au module Analyse du comportement Dr.Web est capable d'effectuer les actions suivantes :

  • protéger contre la pénétration de nouveaux programmes malveillants, les plus dangereux, conçus pour éviter leur détection par les mécanismes traditionnels utilisant les signatures ou l'analyse heuristique, les objets encore inconnus du système de protection (notamment dans le cas où les dernières mises à jour n'ont pas été téléchargées) ;
  • détecter les processus malveillants qui modifient les fichiers utilisateur en contrôlant les processus afin de repérer un comportement caractéristique de malwares (par exemples des ransomwares à chiffrement) et d’empêcher leur pénétration dans les processus d'autres logiciels ;
  • détecter et neutraliser des soi-disant «nouvelles» menaces, inconnues : les ransomwares à chiffrement, injecteurs, objets malveillants gérés à distance (utilisés pour l'espionnage ou dans des botnets), packers de virus

Configuration

Nous allons décrire les fonctions de chaque paramètre.

Fichier HOSTS

Ce fichier permet de définir la correspondance entre le nom du domaine hôte et son adresse IP. La priorité du traitement du fichier HOSTS est plus élevée que la priorité d'accès au serveur DNS.

L'accès au fichier HOSTS permet aux malfaiteurs de bloquer l'accès aux sites de sociétés antivirus et de rediriger les utilisateurs vers des faux sites.

Dr.Web empêche les malwares de modifier le fichier HOSTS et de rediriger les utilisateurs vers des ressources de phishing.

L'intégrité des applications en cours d'exécution

Le processus est un ensemble de ressources et de données qui se trouvent dans la RAM de l'ordinateur. Chaque logiciel possède son propre processus qui ne doit pas modifier celui d'un autre logiciel. Mais les logiciels malveillants, par exemple, le Trojan.Encoder.686 (CTB-Locker). viole cette règle.

#drweb

Dr.Web empêche les logiciels malveillants de s'intégrer aux processus d'autres logiciels (avec, par exemple, l'interdiction de modifier le processus du navigateur afin d'obtenir l'accès au système de banque en ligne), ce qui les empêche de mettre en œuvre leurs fonctionnalités.

L'accès au bas niveau du disque

Dans le système d'exploitation Windows, l'accès aux fichiers est assuré par l’envoi de requêtes au système de fichiers, contrôlé par l'OS. Les Trojans-bootkits modifient les secteurs d'amorçage du disque directement, en évitant le système de fichiers Windows et en s'adressant à certains secteurs du disque.

L'intégration du Trojan dans le secteur d'amorçage rend difficile sa détection et sa neutralisation.

#drweb

Dr.Web interdit la modification des secteurs d'amorçage par les malwares, ce qui empêche le lancement des Trojans sur l'ordinateur.

#drweb

Téléchargement de pilotes

Beaucoup de rootkits lancent de façon masquée leurs pilotes et services pour dissimuler leur présence dans le système ou exécuter des actions non autorisées, par exemple l'envoi de logins et de mots de passe etc.

Dr.Web empêche de télécharger de nouveaux pilotes ou des pilotes inconnus à l'insu de l'utilisateur.

Paramètres de lancement des applications

Dans le registre Windows, il existe la clé (entry) Image File Execution Options permettant d'assigner à n'importe quelle application Windows un débogueur (le logiciel qui permet au programmeur de déboguer le code, ainsi que de modifier les données du processus de débogage). À l'aide de cette clé, le malware, assigné comme le débogueur pour un processus système ou une application (par exemple, Internet Explorer ou Explorateur Windows), reçoit l'accès complet à ce qui intéresse les malfaiteurs.

#drweb

Dr.Web bloque l'accès à la clé du registre Image File Execution Options.
Les utilisateurs n'ont pas de nécessité réelle de déboguer les applications, mais le risque de l'utilisation d’Image File Execution Options par un malware est très haut.

#drweb

Pilotes de périphériques multimédia

Certains malwares créent des fichiers exécutables et les enregistrent comme des appareils virtuels.

Dr.Web bloque les branches du registre responsables des pilotes des appareils virtuels, ce qui rend impossible l'installation d'un nouvel appareil virtuel.

Paramètres du shell Winlogon, Notificateurs Winlogon

L'interface Winlogon notification package traite les événements assignés aux logon et logout des utilisateurs, l'arrêt et le démarrage du système. A l'aide de Winlogon notification package, les malwares peuvent redémarrer l'OS, arrêter l'ordinateur, empêcher le logon de l'utilisateur. C'est le cas des Trojan.Winlock.3020, Trojan.Winlock.6412.

#drweb
#drweb

Dr.Web interdit la modification des branches du registre responsables du Winlogon notification package et ne permet pas aux malwares d'ajouter l'exécution de nouvelles tâches dans la logique du fonctionnement du système d'exploitation.

#drweb

Exécution automatique du shell Windows

L'option bloque plusieurs paramètres du registre Windows dans la branche [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: par exemple, AppInit_DLLs (assure que Windows télécharge les DLL spécifiés lors du lancement d'une application), AppInit_DLLs (peut être utilisé pour intégrer un rootkit), Run (nécessaire pour lancer l'application après le démarrage de l'OS), IconServiceLib (responsable du téléchargement de la bibliothèque IconCodecService.dll, nécessaire pour l'affichage correct du bureau et de ses icônes).

La Protection préventive Dr.Web bloque certains paramètres dans le registre Windows, interdisant ainsi aux virus de modifier l'affichage correct du bureau ou empêchant un rootkit de cacher sa présence dans le système.

Associations de fichiers exécutables

Certains logiciels malveillants violent les associations de fichiers. Ainsi, les logiciels ne se lancent pas ou mal, au lieu du logiciel requis par l'utilisateur, se lance un logiciel affecté par un malware.

#drweb

Dr.Web empêche les malwares de modifier les règles de lancement des logiciels.

#drweb

Stratégies de restriction logicielle (SRP)

Windows permet de paramétrer des Stratégies de restriction logicielle(SRP). Cela permet de lancer des logiciels depuis certains dossiers (par exemple, Program Files) et d’interdire leur lancement depuis les autres dossiers. Le blocage de la branche du registre responsable du paramétrage de SRP interdit de modifier les politiques configurées, ce qui renforce la protection déjà mise en place.

Dr.Web permet de protéger votre système contre les logiciels malveillants qui pénètrent l'ordinateur via la messagerie et/ou les supports amovibles lancés depuis les répertoires temporaires. Cette option est recommandée pour les entreprises.

Plugins Internet Explorer (BHO)

Ce paramètre permet d'interdire l'installation de nouveaux plugins pour Internet Explorer en bloquant la branche de registre appropriée.

#drweb

Dr.Web protège le navigateur contre les plugins malveillants, par exemple les « bloqueurs » de navigateurs.

#drweb

Autorun de logiciels

Interdit la modification des branches du registre responsables de l'autorun des logiciels.

Dr.Web peut empêcher l'autorun des malware en interdisant leur enregistrement dans le registre.

Autorun des politiques

Cette option verrouille la branche du registre qui permet de lancer un logiciel au moment du logon de l'utilisateur.

#drweb

Dr.Web peut empêcher l'autorun de logiciels, par exemple les anti-antivirus.

#drweb

Configuration du mode sans échec

Certains Trojans désactivent le mode sans échec Windows pour rendre difficile le traitement de l'ordinateur.

Dr.Web empêche la désactivation du mode sans échec par l'interdiction de la modification du registre.

Paramètres du gestionnaire de sessions

Cette option protège les paramètres du gestionnaire de sessions Windows - système qui assure la stabilité du système d'exploitation. Sinon, les malwares peuvent initialiser des variables d'environnement, exécuter un certain nombre de processus système, supprimer, déplacer ou copier des fichiers avant le démarrage complet du système d'exploitation etc.

#drweb

Dr.Web protège le système d'exploitation contre le lancement des logiciels malveillants avant que le système d'exploitation ne démarre complètement (y compris le démarrage de l'antivirus).

#drweb

Services système

Cette option protège les paramètres du registre responsables du fonctionnement correct des services système.

Certains virus peuvent bloquer l'éditeur du registre, empêchant le travail normal de l'utilisateur. Ils suppriment par exemple les raccourcis des logiciels installés sur le bureau ou ne permettent pas de déplacer les fichiers.

Dr.Web empêche les malwares d’altérer le fonctionnement correct de certaines services systèmes, par exemple empêcher la création de sauvegardes.

Modes de сonfiguration

Il existe quatre modes de paramètres disponibles pour l'utilisateur : optimal (activé par défaut), moyen, paranoïde et utilisateur.

#drweb

Le mode optimal prévoit la protection des branches du registre utilisées par les logiciels malveillants en en interdisant la modification ou en les bloquant, sans charge significative sur les ressources de l'ordinateur.

Lorsque vous augmentez le niveau de protection, le système est plus soigneusement protégé contre les logiciels malveillants, encore inconnus de la base virale Dr.Web, mais cela augmente en même temps le risque de conflit entre les interdictions du Moniteur d'activité et les besoins des applications lancées.

#drweb

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg