Dr.Web予防的保護テクノロジー

予防的保護テクノロジーは、非シグネチャー型テクノロジーとともに、従来のアンチウイルスを補完します。

下記は、全てのトロイの木馬に共通する挙動パターンとなります

類似のアルゴリズムに従って動作し、同じオペレーティングシステム脆弱性を悪用し、同じ一連の悪意あるペイロードを備えています。
いつも先に行動を起こします (システムを攻撃します)

トロイの木馬は悪意ある動作を開始する時点で、Dr.Webに検知・削除されます。

Dr.Web予防的保護は、オンザフライでプログラム挙動を分析し、悪意あるプロセスを即座に終了させるテクノロジーの複合体を活用する、先を見越したプロアクティブなテクノロジーとなります。また、疑わしいプログラムの動作が既知なるマルウェアの動作パターンに似ている場合、Dr.Webは、そのプログラムを検出してブロックします。 Dr.Web予防的保護テクノロジーは、アンチウイルスラボでまだ分析されておらず、侵入時点でDr.Webにとって未知であるため、従来のシグネチャー型分析とヒューリスティックルーチンでは検出されない、新しいマルウェアからシステムを保護します。

下記にて、Dr.Web予防的保護に用いられる一部のテクノロジーを紹介します。

Dr.Web Process Heuristic

Dr.Web Process Heuristicは、犯罪者によく知られている正規プログラムの動作を説明する既定のルールに依存する従来の挙動分析とは異なり、実行中の各プログラムの動作を、絶えず更新されるDr.Web Cloudに格納されているレピュテーション情報と比較することで、リアルタイムに分析します。その後、プログラムが危険かどうかを判断した上で、脅威を無力化するために必要な措置を講じます。

このデータ保護テクノロジーは、未知のマルウェアの活動による損失を最小限に抑えることができ、保護対象システムのリソースをほとんど消費しません。

Dr.Web Process Heuristicは、システムを変更する試みを監視します

• ファイルを変更する悪質なプロセス (暗号化ランサムウェアなど) を検出します。
マルウェアが他のアプリケーションのプロセスにコードを注入するのを防止します。
重要なシステム領域がマルウェアに改変されないように保護します。
悪意のある、疑わしい、または信頼できないスクリプトやプロセスの実行を検出して停止します。
マルウェアによるブートセクターの変更を防止し、悪意のあるコードがコンピューター上で実行されないようにします。
Windowsレジストリ内の変更をブロックし、セーフモードが無効にならないようにします。
悪意のあるプログラムによる基本的なシステムルーチンの変更を防止します。特定のレジストリキーをブロックすることで、マルウェアがデスクトップの外観を変更したり、ルートキットを使用してトロイの木馬を隠したりするのを防止します。
マルウェアによる起動権限の変更を防止します。

Dr.Web Process Heuristicは、起動フェーズ中にシステムの保護を開始します。この時点では、従来のシグネチャーベースのアンチウイルスはロードすらされていません。

新しい、または未知のドライバがユーザーの同意なしにダウンロードされるのを防ぎます。
マルウェアやその他の特定のアプリケーション (アンチアンチウイルスなど) が、自動的に起動できるように、Windowsレジストリにエントリーを追加するのを防止します。
仮想デバイスドライバに関する情報が含まれているレジストリセクションをロックし、新しい仮想デバイスが作成されないようにします。
スパイウェアとその制御サーバー間の接続をブロックします。
マルウェアがスケジュールされたバックアップなどのシステムルーチンを妨害できないようにします。

Dr.Web Process Heuristicは追加設定なしですぐに動作しますが、ユーザーはいつでも自身のニーズに合わせてルールを設定できます。

Dr.Web Process HeuristicにはDr.Web ShellGuardが含まれています。このテクノロジーでは、システムへの経路をブロックして、脆弱性を悪用するプログラムがシステムに侵入できないようにします。脆弱性を悪用するプログラムとは、ソフトウェアの欠陥を利用する悪意のあるオブジェクトのことです。ソフトウェアの欠陥には、このようなオブジェクトを作成した侵入者以外にまだ知られていないもの (ゼロデイ脆弱性) が含まれます。脆弱性は、標的のアプリケーションやオペレーティングシステムの制御を獲得するために使用されます。

Dr.Web ShellGuard

Dr.Web ShellGuardは、下記のアプリケーションを保護します。

すべての一般的なWebブラウザー (Internet Explorer、Mozilla Firefox、Yandex Browser、Google Chrome、Vivaldi Browser) 。
MS Office 2016を含むMS Officeアプリケーション。
システムアプリケーション。
Java、Flash、PDFを使用するアプリケーション。
メディアプレーヤー (ソフトウェア) 。

仕組み

悪意のあるコードが脆弱性を悪用しようとしていることがDr.Web ShellGuardによって検出されると、Dr.Webは攻撃を受けたプロセスをすぐに終了します。Dr.Web ShellGuardは、アプリケーションファイルに対して何らかのアクションを実行したり、ファイルを隔離したりしません。
また、ユーザーには、悪意のあるアクションを実行しようとする試みが阻止されたことが通知されます。ユーザー側に必要な対応はありません。
中断された攻撃に関するエントリーがDr.Webのイベントログに追加されます。
このインシデントについては、クラウドにもすぐに通知されます。必要に応じて、Doctor Webの専門家が迅速に対応します (システムモニタリングルーチンをアップグレードするなど) 。

更新

Dr.Web ShellGuardは、悪質な活動を検出するために、アンチウイルスにローカルに保存されている情報に加え、Dr.Web Cloudのレピュテーションデータも使用します。これには次のようなデータが含まれます。

悪意のあるプログラムで使用されるルーチンに関する情報。
100%クリーンなファイルに関する情報。
有名なソフトウェア開発者の破損したデジタル署名に関する情報。
アドウェアやリスクウェアで使用されるデジタル署名に関する情報。
特定のアプリケーションで使用される保護ルーチン。

新しい脅威に関するデータを含め、PC上でのDr.Webの動作に関する情報を、クラウドで収集できます。これにより、Doctor Webでは見つかった欠陥に迅速に対応し、マシン上のアンチウイルスに保存されているルールを速やかに更新できます。

ユーザーのPCにあるファイルは、一切、Doctor Webサーバーに転送されません!

次の製品にはDr.Web予防的保護テクノロジーが実装されます。