Nous allons décrire les fonctions de chaque paramètre.
Fichier HOSTS
Ce fichier permet de définir la correspondance entre le nom du domaine hôte et son adresse IP. La priorité du traitement du fichier HOSTS est plus élevée que la priorité d'accès au serveur DNS.
L'accès au fichier HOSTS permet aux malfaiteurs de bloquer l'accès aux sites de sociétés antivirus et de rediriger les utilisateurs vers des faux sites.
Dr.Web empêche les malwares de modifier le fichier HOSTS et de rediriger les utilisateurs vers des ressources de phishing.
L'intégrité des applications en cours d'exécution
Le processus est un ensemble de ressources et de données qui se trouvent dans la RAM de l'ordinateur. Chaque logiciel possède son propre processus qui ne doit pas modifier celui d'un autre logiciel. Mais les logiciels malveillants, par exemple, le Trojan.Encoder.686 (CTB-Locker). viole cette règle.
Dr.Web empêche les logiciels malveillants de s'intégrer aux processus d'autres logiciels (avec, par exemple, l'interdiction de modifier le processus du navigateur afin d'obtenir l'accès au système de banque en ligne), ce qui les empêche de mettre en œuvre leurs fonctionnalités.
L'accès au bas niveau du disque
Dans le système d'exploitation Windows, l'accès aux fichiers est assuré par l’envoi de requêtes au système de fichiers, contrôlé par l'OS. Les Trojans-bootkits modifient les secteurs d'amorçage du disque directement, en évitant le système de fichiers Windows et en s'adressant à certains secteurs du disque.
L'intégration du Trojan dans le secteur d'amorçage rend difficile sa détection et sa neutralisation.
Dr.Web interdit la modification des secteurs d'amorçage par les malwares, ce qui empêche le lancement des Trojans sur l'ordinateur.
Téléchargement de pilotes
Beaucoup de rootkits lancent de façon masquée leurs pilotes et services pour dissimuler leur présence dans le système ou exécuter des actions non autorisées, par exemple l'envoi de logins et de mots de passe etc.
Dr.Web empêche de télécharger de nouveaux pilotes ou des pilotes inconnus à l'insu de l'utilisateur.
Paramètres de lancement des applications
Dans le registre Windows, il existe la clé (entry) Image File Execution Options permettant d'assigner à n'importe quelle application Windows un débogueur (le logiciel qui permet au programmeur de déboguer le code, ainsi que de modifier les données du processus de débogage). À l'aide de cette clé, le malware, assigné comme le débogueur pour un processus système ou une application (par exemple, Internet Explorer ou Explorateur Windows), reçoit l'accès complet à ce qui intéresse les malfaiteurs.
Dr.Web bloque l'accès à la clé du registre Image File Execution Options.
Les utilisateurs n'ont pas de nécessité réelle de déboguer les applications, mais le risque de l'utilisation d’Image File Execution Options par un malware est très haut.
Pilotes de périphériques multimédia
Certains malwares créent des fichiers exécutables et les enregistrent comme des appareils virtuels.
Dr.Web bloque les branches du registre responsables des pilotes des appareils virtuels, ce qui rend impossible l'installation d'un nouvel appareil virtuel.
Paramètres du shell Winlogon, Notificateurs Winlogon
L'interface Winlogon notification package traite les événements assignés aux logon et logout des utilisateurs, l'arrêt et le démarrage du système. A l'aide de Winlogon notification package, les malwares peuvent redémarrer l'OS, arrêter l'ordinateur, empêcher le logon de l'utilisateur. C'est le cas des Trojan.Winlock.3020, Trojan.Winlock.6412.
Dr.Web interdit la modification des branches du registre responsables du Winlogon notification package et ne permet pas aux malwares d'ajouter l'exécution de nouvelles tâches dans la logique du fonctionnement du système d'exploitation.
Exécution automatique du shell Windows
L'option bloque plusieurs paramètres du registre Windows dans la branche [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: par exemple, AppInit_DLLs (assure que Windows télécharge les DLL spécifiés lors du lancement d'une application), AppInit_DLLs (peut être utilisé pour intégrer un rootkit), Run (nécessaire pour lancer l'application après le démarrage de l'OS), IconServiceLib (responsable du téléchargement de la bibliothèque IconCodecService.dll, nécessaire pour l'affichage correct du bureau et de ses icônes).
La Protection préventive Dr.Web bloque certains paramètres dans le registre Windows, interdisant ainsi aux virus de modifier l'affichage correct du bureau ou empêchant un rootkit de cacher sa présence dans le système.
Associations de fichiers exécutables
Certains logiciels malveillants violent les associations de fichiers. Ainsi, les logiciels ne se lancent pas ou mal, au lieu du logiciel requis par l'utilisateur, se lance un logiciel affecté par un malware.
Dr.Web empêche les malwares de modifier les règles de lancement des logiciels.
Stratégies de restriction logicielle (SRP)
Windows permet de paramétrer des Stratégies de restriction logicielle(SRP). Cela permet de lancer des logiciels depuis certains dossiers (par exemple, Program Files) et d’interdire leur lancement depuis les autres dossiers. Le blocage de la branche du registre responsable du paramétrage de SRP interdit de modifier les politiques configurées, ce qui renforce la protection déjà mise en place.
Dr.Web permet de protéger votre système contre les logiciels malveillants qui pénètrent l'ordinateur via la messagerie et/ou les supports amovibles lancés depuis les répertoires temporaires. Cette option est recommandée pour les entreprises.
Plugins Internet Explorer (BHO)
Ce paramètre permet d'interdire l'installation de nouveaux plugins pour Internet Explorer en bloquant la branche de registre appropriée.
Dr.Web protège le navigateur contre les plugins malveillants, par exemple les « bloqueurs » de navigateurs.
Autorun de logiciels
Interdit la modification des branches du registre responsables de l'autorun des logiciels.
Dr.Web peut empêcher l'autorun des malware en interdisant leur enregistrement dans le registre.
Autorun des politiques
Cette option verrouille la branche du registre qui permet de lancer un logiciel au moment du logon de l'utilisateur.
Dr.Web peut empêcher l'autorun de logiciels, par exemple les anti-antivirus.
Configuration du mode sans échec
Certains Trojans désactivent le mode sans échec Windows pour rendre difficile le traitement de l'ordinateur.
Dr.Web empêche la désactivation du mode sans échec par l'interdiction de la modification du registre.
Paramètres du gestionnaire de sessions
Cette option protège les paramètres du gestionnaire de sessions Windows - système qui assure la stabilité du système d'exploitation. Sinon, les malwares peuvent initialiser des variables d'environnement, exécuter un certain nombre de processus système, supprimer, déplacer ou copier des fichiers avant le démarrage complet du système d'exploitation etc.
Dr.Web protège le système d'exploitation contre le lancement des logiciels malveillants avant que le système d'exploitation ne démarre complètement (y compris le démarrage de l'antivirus).
Services système
Cette option protège les paramètres du registre responsables du fonctionnement correct des services système.
Certains virus peuvent bloquer l'éditeur du registre, empêchant le travail normal de l'utilisateur. Ils suppriment par exemple les raccourcis des logiciels installés sur le bureau ou ne permettent pas de déplacer les fichiers.
Dr.Web empêche les malwares d’altérer le fonctionnement correct de certaines services systèmes, par exemple empêcher la création de sauvegardes.
