多くのマルウェアプログラムは、類似のアルゴリズムに従って動作し、同じオペレーティングシステム脆弱性を悪用し、同じ一連の悪意ある機能を備えています。

疑わしいプログラムの動作が既知のマルウェアの動作パターンに似ている場合、Dr.Webアンチウイルス保護システムは、そのプログラムのエントリーがDr.Webアンチウイルスデータベースにまだ登録されていない場合でも、そのプログラムを検出してブロックできます。

これは、ソフトウェアのどのプロアクティブテクノロジーも、これらの疑わしいプログラムのシグネチャーがウイルスデータベースに存在するかどうかに依存しないためです。これらのテクノロジーはすべて、Doctor Webが独自に開発したものです。

ここでは、このようなDr.Webテクノロジーをいくつかご紹介します。

ユニバーサルマルウェア展開テクノロジー

攻撃者がアンチウイルスに認識されない新種のマルウェアを開発するには、多くの時間がかかります。また、最新のアンチウイルスに対して新しいマルウェアをテストするのにも、多くの時間がかかります。このような大きな労力を要する作業を省くため、犯罪者は、どのアーカイブアプリケーションにも認識されない形式を持つパッカーを使用してマルウェアを暗号化または圧縮します。ほとんどのアンチウイルスでは、圧縮または暗号化されたプログラムを認識するために、ウイルスデータベースに対応するエントリー (シグネチャー) が必要です。これは、ウイルスデータベースが更新されるまで、システムが無防備な状態になることを意味します。

Dr.Webは、このような状況でもシステムを保護できます。

• Dr.Web FLY-CODEは、パッカーで圧縮された、Dr.Webにとってさえ未知のウイルスを検出するための、Dr.Web独自のユニバーサル展開テクノロジーです。
• 圧縮された脅威を包括的に分析することにより、新しいパッカーで隠される前にDr.Webウイルスデータベースに追加されたと考えられる「新しい」悪意あるプログラムの検出が大幅に向上します。また、この種の分析を使用することで、ウイルスデータベースに新しい脅威の定義を継続的に追加する必要がなくなります。Dr.Webのウイルスデータベースが小さいサイズに保たれるため、システム要件が増え続けることはありません。更新はこれまでどおり小さく、検出および修復の品質はこれまでと変わらず高レベルです。

挙動を分析し、悪質なプロセスを終了させるためのテクノロジー

今日の犯罪者が求めているものはデータとお金です。犯罪者は、このために、アンチウイルスやその他のセキュリティソフトウェアが認識またはブロックできない新種のマルウェアを作成します。未知のマルウェアがアンチウイルスラボで分析される前にコンピューターに侵入するリスクは、年々高まっています。このような状況のなか、実行中のシステムプロセスやアプリケーションの動作を制御することは、今日のアンチウイルスセキュリティの重要な要素となっています。

• 挙動分析テクノロジーであるDr.Web Process Heuristicでは、アンチウイルスラボでまだ分析されておらず、侵入時点でDr.Webにとって未知であるために、従来のシグネチャーベースの分析およびヒューリスティックルーチンでは検出されない、大量の新しいマルウェアからシステムを保護します。

Dr.Web Process Heuristicは、犯罪者によく知られている正規プログラムの動作を説明する既定のルールに依存する従来の挙動分析とは異なり、実行中の各プログラムの動作を、絶えず更新されるDr.Web Cloudに格納されているレピュテーション情報と比較することで、リアルタイムに分析します。その後、プログラムが危険かどうかを判断した上で、脅威を無力化するために必要な措置を講じます。

このデータ保護テクノロジーは、未知のマルウェアの活動による損失を最小限に抑えることができ、保護対象システムのリソースをほとんど消費しません。

Dr.Web Process Heuristicは、システムを変更する試みを監視します。

• ファイルを変更する悪質なプロセス (暗号化ランサムウェアなど) を検出します。
• マルウェアが他のアプリケーションのプロセスにコードを注入するのを防止します。
• 重要なシステム領域がマルウェアに改変されないように保護します。
• 悪意のある、疑わしい、または信頼できないスクリプトやプロセスの実行を検出して停止します。
• マルウェアによるブートセクターの変更を防止し、悪意のあるコードがコンピューター上で実行されないようにします。
• Windowsレジストリ内の変更をブロックし、セーフモードが無効にならないようにします。
• 悪意のあるプログラムによる基本的なシステムルーチンの変更を防止します。特定のレジストリキーをブロックすることで、マルウェアがデスクトップの外観を変更したり、ルートキットを使用してトロイの木馬を隠したりするのを防止します。
• マルウェアによる起動権限の変更を防止します。

Dr.Web Process Heuristicは、起動フェーズ中にシステムの保護を開始します。この時点では、従来のシグネチャーベースのアンチウイルスはロードすらされていません。

• 新しい、または未知のドライバがユーザーの同意なしにダウンロードされるのを防ぎます。
• マルウェアやその他の特定のアプリケーション (アンチアンチウイルスなど) が、自動的に起動できるように、Windowsレジストリにエントリーを追加するのを防止します
• 仮想デバイスドライバに関する情報が含まれているレジストリセクションをロックし、新しい仮想デバイスが作成されないようにします。
• スパイウェアとその制御サーバー間の接続をブロックします。
• マルウェアがスケジュールされたバックアップなどのシステムルーチンを妨害できないようにします。

Dr.Web Process Heuristicは追加設定なしですぐに動作しますが、ユーザーはいつでも自身のニーズに合わせてルールを設定できます。

Dr.Web Process HeuristicにはDr.Web ShellGuardが含まれています。このテクノロジーでは、システムへの経路をブロックして、脆弱性を悪用するプログラムがシステムに侵入できないようにします。脆弱性を悪用するプログラムとは、ソフトウェアの欠陥を利用する悪意のあるオブジェクトのことです。ソフトウェアの欠陥には、このようなオブジェクトを作成した侵入者以外にまだ知られていないもの (ゼロデイ脆弱性) が含まれます。脆弱性は、標的のアプリケーションやオペレーティングシステムの制御を獲得するために使用されます。

侵入不可能なシステムは存在しません。
開発者は、既知の脆弱性に対するパッチをすぐにリリースしようとします。たとえば、Microsoftはセキュリティ更新プログラムを頻繁にリリースしています。しかし、それらをインストールするのが遅れることは (まったくインストールしないことさえも) よくあります。これが侵入者による新しい脆弱性の探索や、すでに発見されているものの、標的のコンピューターでまだ修正されていない脆弱性の悪用を招いています。

Dr.Web ShellGuardは、Windowsを実行しているほぼすべてのコンピューターにインストールされている最も一般的なアプリケーションを保護します。

• すべての一般的なWebブラウザー (Internet Explorer、Mozilla Firefox、Google Chrome、Vivaldi Browser) 。
• MS Office 2016を含むMS Officeアプリケーション。
• システムアプリケーション。
• Java、Flash、PDFを使用するアプリケーション。
• メディアプレーヤー (ソフトウェア) 。

非シグネチャー型のDr.Web ShellGuardブロックルーチンで使用するデータをクラウドからインテリジェントに更新

Dr.Web ShellGuardは、悪質な活動を検出するために、アンチウイルスにローカルに保存されている情報に加え、Dr.Web Cloudのレピュテーションデータも使用します。これには次のようなデータが含まれます。

• 悪意のあるプログラムで使用されるルーチンに関する情報。
• 100%クリーンなファイルに関する情報。
• 有名なソフトウェア開発者の破損したデジタル署名に関する情報。
• アドウェアやリスクウェアで使用されるデジタル署名に関する情報。
• 特定のアプリケーションで使用される保護ルーチン。

新しい脅威に関するデータを含め、PC上でのDr.Webの動作に関する情報を、クラウドで収集できます。これにより、Doctor Webでは見つかった欠陥に迅速に対応し、マシン上のアンチウイルスに保存されているルールを速やかに更新できます。

仕組み

• 悪意のあるコードが脆弱性を悪用しようとしていることがDr.Web ShellGuardによって検出されると、Dr.Webは攻撃を受けたプロセスをすぐに終了します。Dr.Web ShellGuardは、アプリケーションファイルに対して何らかのアクションを実行したり、ファイルを隔離したりしません。
• また、ユーザーには、悪意のあるアクションを実行しようとする試みが阻止されたことが通知されます。ユーザー側に必要な対応はありません。
• 中断された攻撃に関するエントリーがDr.Webのイベントログに追加されます。
• このインシデントについては、クラウドにもすぐに通知されます。必要に応じて、Doctor Webの専門家が迅速に対応します (システムモニタリングルーチンをアップグレードするなど) 。

予防的保護は、Dr.Web Security SpaceおよびDr.Web Anti-Virusライセンスで利用できます。

以前にDr.Webのナレッジベースに登録されているプログラムに似たマルウェアを検出するテクノロジー

アンチウイルスラボには、毎日何十万ものマルウェアサンプルが届いています。 その数は増え続けています。

このような状況下では、保護対象マシンのセキュリティは、アンチウイルスラボが新しいマルウェアをいかに迅速に受け取り、処理するかに大きく依存します。ただし、Dr.Webがインストールされているシステムは、更新が届くまで無防備なままでいるわけではありません。

• 最先端の非シグネチャー型スキャンテクノロジーであるOrigins Tracing™により、Dr.Webにとって未知のウイルスが高い確率で検出されることが保証されています。
• ヒューリスティックアナライザーでは、さまざまなマルウェアのグループによくある条件に基づいて分析を行い、ほとんどの既知の脅威を検出します。

Dr.Web for Windowsの予防的保護設定

Dr.Web for Windowsでは、設定を「予防的保護」タブで管理できます。

ユーザーは、「最適」 (デフォルトの設定) 、「中」、「パラノイド」、「ユーザー」の4つの設定モードを使用できます。

	最適モードでは、悪意のあるソフトウェアによって使用され、ブロック可能な (レジストリスレッドに対する変更をブロックできる) レジストリスレッドのみを、コンピューターリソースの消費を抑えつつ保護します。
予防的保護モードのレベルを上げると、Dr.Webのウイルスデータベースに登録されていないマルウェアプログラムに対するシステムの警戒度が上がりますが、それと同時に予防的保護によって生じる制約と実行中のアプリケーションのニーズが競合するリスクが高まります。

Dr.Web for Windowsの予防的保護設定

各設定を切り替えることによってどのようなメリットがあるか詳しく見てみましょう。

	HOSTSファイル このファイルでは、ホストのドメイン名とIPアドレスとの関係を定義できます。HOSTSファイルの処理は、DNSサーバーへのアクセスよりも優先されます。サイバー犯罪者は、HOSTSファイルを使用して、アンチウイルス企業のWebサイトへのアクセスをブロックし、ユーザーを偽のサイトにリダイレクトできます。
Dr.Webの予防的保護は、マルウェアがHOSTSファイルを変更し、ユーザーをフィッシングリソースにリダイレクトするのを防止します。
実行中のアプリケーションの整合性 プロセスとは、コンピューターのRAM上にある一連のリソースとデータのことです。あるプログラムのプロセスが別のプログラムのプロセスを変更することがあってはなりません。しかし、悪意あるプログラムについてはどうでしょうか。 たとえば、Trojan.Encoder.686 (CTB-Locker) はこのルールを破ります。
Dr.Webの予防的保護は、マルウェアが他のプログラムのプロセスに注入されるのを防止することで (たとえば、トロイの木馬が電子バンキングシステムにアクセスするためにブラウザーのプロセスを変更するのを禁止します) 、マルウェアがその機能を完全または部分的に実装するのを阻止します。
	ユーザーファイルの整合性 一部の恐喝マルウェア (ランサムウェア) は、ユーザーデータを暗号化し、複合化と引き換えに身代金を要求します。このオプションを有効にすると、Trojan.Encoder.94、Trojan.Encoder.102、Trojan.Encoder.686 (CTB-Locker) などの暗号化ランサムウェアから保護できます。
Dr.Webの予防的保護は、ユーザーファイルを変更するマルウェアプロセスを検出し、暗号化ランサムウェアの活動をブロックします。
ディスクへの低レベルアクセス Windowsが正常に動作している場合、ファイルへのアクセスは、オペレーティングシステムによって制御されているファイルシステムを参照して行われます。MBRを変更するトロイの木馬ブートキットは、Windowsファイルシステムをバイパスし、特定のディスクセクターにアクセスして、直接ディスクにアクセスします。MBRに注入されたトロイの木馬を検出して無力化するのは非常に困難です。
Dr.Webの予防的保護は、マルウェアがMBRを変更するのを防止し、トロイの木馬がシステムで起動されないようにします。
	ドライバのロード 多くのルートキットは、自身のドライバとサービスを秘密裡に起動してシステム内に潜伏し、ログインやパスワード、その他の識別情報をサイバー犯罪者に送信するなど、不正なアクションを実行します。
Dr.Webの予防的保護は、新しい、または未知のドライバがユーザーの同意なしにダウンロードされるのを防ぎます。
アプリケーション起動パラメータ Windowsレジストリには、任意のWindowsアプリケーションにデバッガー (プログラマーが作成したコードをデバッグしたり、デバッグ対象プロセスのデータを変更したりできるプログラム) を割り当てるために使用できるイメージ実行オプションキー (エントリー) が含まれています。システムプロセスやアプリケーション (Internet ExplorerやWindowsエクスプローラーなど) をデバッグするために割り当てられたマルウェアは、このキーを使用して、侵入者が興味を持つあらゆるものへのフルアクセスを取得できます。
Dr.Webの予防的保護は、イメージ実行オプションレジストリキーへのアクセスをブロックします。 通常のユーザーは、アプリケーションを即時にデバッグする必要性は実際にはありません。また、イメージ実行オプションキーを使用するマルウェアは非常に危険です。
	マルチメディアデバイスドライバ 一部の悪意のあるプログラムは、実行可能ファイルを作成し、仮想デバイスとして登録します。
Dr.Web予防的保護は、仮想デバイスドライバを管理するレジストリブランチをブロックし、新しい仮想デバイスをインストールできないようにします
Winlogonレジストリキー、Winlogon通知 Winlogon通知パッケージインターフェースは、ユーザーのログインとログアウト、オペレーティングシステムの有効化と無効化、およびその他いくつかのタスクに割り当てられたイベントを円滑に処理できるようにします。マルウェアは、Winlogon通知パッケージにアクセスすると、OSを再起動したり、コンピューターをシャットダウンしたり、ユーザーがOS環境にログインできないようにしたりできます。これはTrojan.Winlock.3020とTrojan.Winlock.6412の典型的なアクティビティです。
Dr.Webの予防的保護は、Winlogon通知パッケージを管理するレジストリブランチが変更されるのを防止し、マルウェアが新しいタスク (攻撃者が必要とするもの) をOSのロジックに追加するのを禁止します。
	Windowsレジストリのスタートアップキー このオプションは、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]ブランチ内の複数のWindowsレジストリ設定を同時にブロックします。 たとえば、AppInit_DLL (プログラムの起動時に毎回指定されたDLLをダウンロードするようにWindowsに指示します) 、AppInit_DLL (ルートキットをWindowsに注入するために使用できます) 、Run (OSの起動後、プログラムを最小化した状態で実行するために必要です) 、IconServiceLib (デスクトップとアイコンを通常どおり画面に表示するために必要なパラメータであるIconCodecService.dllをダウンロードします) などです。
Dr.Webの予防的保護は、多数のWindowsレジストリ設定をブロックすることで、ウイルスが通常のデスクトップ表示を変更したり、ルートキットがトロイの木馬をシステム内に隠したりするのを防止します。
実行可能ファイルの関連付け 一部の悪意あるプログラムは、実行可能ファイルの関連付けを破壊し、プログラムが起動できないようにしたり、マルウェアによって制御される好ましくないプログラムが起動されるようにします。
Dr.Webの予防的保護は、マルウェアがプログラムの起動ルールを変更できないようにします。
	ソフトウェア制限ポリシー (SRP) Windowsでは、ソフトウェア制限ポリシー (SRP) を設定して、プログラムが特定のフォルダ (Program Filesなど) からしか起動できないようにし、それ以外のソースからのプログラムの実行を禁止できます。SRPの設定を管理するレジストリブランチをブロックすることで、設定済みのポリシーの変更が防止され、以前に実装した保護が強化されます。
Dr.Webの予防的防護を使用すると、メールやリムーバブルメディアを介してコンピューターに侵入し、一時ディレクトリなどから起動するマルウェアからシステムを保護できます。企業環境では、このオプションを使用することをお勧めします。
Internet Explorer用のブラウザーヘルパーオブジェクト (BHO) この設定を使用すると、Internet Explorer用の新しいプラグインのインストールを防止できます。これは、該当するレジストリブランチをブロックすることによって行われます。
Dr.Webの予防的保護は、ブラウザーブロッカーなどの悪意のあるプラグインからブラウザーを保護します。
	プログラムのオートラン プログラムのオートランを管理するいくつかのレジストリブランチに対する変更を禁止します。
Dr.Webの予防的保護は、悪意のあるプログラムが次回以降の起動のためにレジストリに登録しようとする試みを阻止することで、それらのプログラムのオートランを防止できます。
オートランポリシー このオプションは、ユーザーのログイン時に任意のプログラムを実行できるようにするレジストリブランチをブロックします。
Dr.Webの予防的保護は、アンチアンチウイルスなどの特定のプログラムのオートランを防止できます。
	セーフモードの構成 一部のトロイの木馬は、Windowsのセーフモードを無効にし、コンピューターの修復をより困難にします。
Dr.Webの予防的保護は、レジストリに対する変更をブロックし、セーフモードがオフに切り替えられるのを防止します。
セッションマネージャーのパラメータ このオプションは、Windowsセッションマネージャー (オペレーティングシステムが安定して動作するために必要なシステム) の設定を保護します。このような保護がない場合、悪意のあるプログラムは、環境変数を初期化したり、多数のシステムプロセスを実行したり、システムが完全にロードされるまでの間にファイルを削除、移動、コピーする操作を実行したりできます。
Dr.Webの予防的保護は、オペレーティングシステムが完全にロードされる前、つまりアンチウイルスが動作を開始する前に、マルウェアがオペレーティングシステムに侵入するのを防止します。
	システムサービス このオプションは、システムサービスの正常な動作を確保するレジストリパラメータが編集されるのを防止します。一部のウイルスは、レジストリエディターをブロックし、ユーザーの通常の作業を複雑にすることができます。たとえば、コンピューターにインストールされているプログラムへのショートカットをデスクトップから消去したり、ファイルを移動できないようにしたりできます。
Dr.Webの予防的保護は、マルウェアがオペレーティングシステムサービスを無効化できないようにします。たとえば、マルウェアがファイルの定期的なバックアップを妨害するのを防止します。