Añadir a la biblioteca

ES RU CN DE EN ES FR JP PL UA

Noticias | Descuentos | Licencias | Centro de prevención de ciberdelitos | Clientes | Sobre la empresa

Muchos programas malintencionados funcionan usando los mismos algoritmos y los mismos sitios críticos en sistemas operativos para penetrar, tienen conjuntos similares de funciones malintencionadas.

Por el comportamiento de un programa sospechoso similar a modelos conocidos de comportamiento de programas malintencionados conocidos el sistema de protección antivirus Dr.Web puede distinguir y bloquear estos programas — incluso si las entradas de los mismos aún no están en la base de virus Dr.Web..

Es posible gracias al conjunto de varias tecnologías de protección preventiva que funciona adelantando y no depende de existencia de las entradas correspondientes (firmas) en la base de virus. Todas estas tecnologías fueron desarrollados solo por los expertos de la empresa Doctor Web.

Vamos a ver algunas de ellas:

Tecnologías de descompresión universal de objetos nocivos

A los malintencionados les lleva mucho tiempo el desarrollo de cada nuevo programa nocivo que no será detectado por las tecnologías antivirus usando o sin usar firmas, así como las pruebas de posibilidades de la versión actual de la protección antivirus para detectar un nuevo objeto nocivo creado por los mismos. Para evitar estos gastos de tiempo y esfuerzo, los ciberdelincuentes comprimen los programas nocivos en empaquetadores cuyo formato es desconocido para todos los archivadores, o los cifran. Para la mayoría de los programas antivirus para que detecten un programa comprimido o cifrado similar, hay que añadir una nueva entrada (firma) al núcleo antivirus, lo que significa que, hasta recibir la actualización de la base de virus, los usuarios quedarán sin protección.

Dr.Web funciona tomando eso en cuenta.

  • La tecnología Dr.Web FLY-CODE es una tecnología de descompresión universal que no tiene análogos y permite detectar hasta los virus empaquetados por empaquetadores desconocidos para Dr.Web.
  • El analizador integral de amenazas empaquetadas aumenta significativamente el nivel de detección de las supuestas "nuevas amenazas" — conocidas para la base de virus Dr.Web, pero ocultas por los nuevos empaquetadores, y, asimismo, permite evitar la necesidad de añadir las nuevas entradas de amenazas a las bases. La posibilidad de mantener las bases de virus Dr.Web compactas, a su vez, no requiere aumento continuo de requerimientos al sistema y asegura un tamaño tradicionalmente pequeño de actualizaciones, y al mismo tiempo la calidad de detección y desinfección sigue siendo la misma, muy alta.
Tecnologías para bloquear procesos nocivos a base de análisis heurístico

Loa malintencionados hoy día buscan los datos y el dinero. Por lo tanto, crean los nuevos tipos de programas nocivos que no deben ser detectados o bloqueados por un antivirus ni por otros medios de protección. Cada año aumenta el riesgo de penetración de un programa nocivo a equipos antes de que los analistas de la empresa antivirus reciban la muestra del mismo. En estas condiciones, un elemento importante de la protección antivirus de hoy llega a ser el control de comportamiento de servicios del sistema operativo y de programas iniciados en el mismo.

  • La tecnología de análisis heurístico Dr.Web Process Heuristic protege contra los nuevos programas malintencionados más actuales desarrollados para no ser detectados por los mecanismos tradicionales de firmas y heurísticos_ - los objetos que todavía no han llegado al laboratorio antivirus para el análisis y, por lo tanto, son desconocidos para la base de virus Dr.Web en el momento de penetrar en el sistema.

A diferencia de los analizadores heurísticos tradicionales basados en las reglas de comportamiento de programas legales fijadas en la base de conocimiento, y, por lo tanto, conocidas para los malintencionados, Dr.Web Process Heuristic analiza «al vuelo» el comportamiento de cada programa iniciado refiriéndose a la nube de reputación Dr.Web actualizada constantemente, y a base del conocimiento actual sobre el comportamiento de los programas nocivos, saca conclusiones sobre el nivel de peligro del mismo, y luego se toman las medidas necesarias para neutralizar la amenaza.

Esta tecnología de protección de datos permite minimizar las pérdidas causadas por las acciones del virus desconocido — en caso de consumo mínimo de los recursos del sistema protegido.

Dr.Web Process Heuristic controla cualquier intento de modificar el sistema:

  • detecta los procesos de programas malintencionados que cambian de forma no deseada los archivos de usuario (por ejemplo, las acciones de troyanos cifradores).
  • previene los intentos de programas nocivos de penetrar en los procesos de otras aplicaciones;
  • protege las partes críticas del sistema contra la modificación por los programas nocivos;
  • detecta y cancela los scripts y procesos sospechosos o no seguros;
  • bloquea la posibilidad de cambio de secciones de carga de la unidad por los programas nocivos para impedir el inicio (por ejemplo, de troyanos) en un equipo;
  • previene la desactivación del modo seguro de Windows bloqueando los cambios del registro.
  • impide que los programas nocivos añadan la ejecución de las nuevas tareas necesarias para los malintencionados a la lógica de funcionamiento del sistema operativo. Bloquea algunas opciones en el registro de Windows, lo que impide, por ejemplo, que los virus cambien la visualización correcta del Escritorio u oculten la presencia del troyano en el sistema por un rootkit;
  • no permite que el software malintencionado modifique las reglas de inicio de programas.

Dr.Web Process Heuristic proporciona la seguridad casi desde el momento de inicio del sistema operativo - ¡empieza a proteger antes de finalizar el inicio del antivirus de signaturas tradicional!

  • Impide la carga de controladores nuevos o desconocidos sin que el usuario lo sepa.
  • Bloquea el autoinicio de programas nocivos, así como de aplicaciones determinadas, por ejemplo, de anti antivirus, impidiendo que los mismos se registren en el registro para el inicio posterior.
  • Bloquea las ramas del registro responsables de controladores de dispositivos virtuales, lo que imposibilita la instalación del nuevo dispositivo virtual.
  • Bloquea las comunicaciones entre los componentes del software espía y el servidor que lo controla.
  • Impide que el software malintencionado afecte al funcionamiento correcto de servicios del sistema, por ejemplo, afectar a la creación ordinaria de copias de seguridad de archivos.

Dr.Web Process Heuristic funciona enseguida de forma predeterminada- pero el usuario siempre puede configurar las reglas de control, según lo desee.

La tecnología Dr.Web ShellGuard, que forma parte de Dr.Web Process Heuristics cierra el acceso al equipo para los exploits — los objetos nocivos que intentan usar las vulnerabilidades, así mismo, las desconocidas para todos excepto los creadores de virus (las así llamadas vulnerabilidades del «día cero»), para obtener control de aplicaciones atacadas o el sistema operativo entero.

No existen sistemas invulnerables.
Los desarrolladores del software intentan lanzar de forma oportuna los parches para las vulnerabilidades conocidas. Por ejemplo, la empresa Microsoft lanza frecuentemente las actualizaciones de seguridad. Pero los usuarios instalan algunas de ellas con mucho retraso (o no las instalan nunca), por lo tanto, los malintencionados tanto buscan las nuevas vulnerabilidades, como usan las ya conocidas, pero no corregidas por la parte de las víctimas potenciales.

Dr.Web ShellGuard protege las aplicaciones más populares que se instalan casi en todos los equipos bajo la administración de Windows:

  • todos los navegadores de Internet populares (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
  • aplicaciones de MS Office, incluido el más reciente MS Office 2016;
  • aplicaciones del sistema;
  • aplicaciones que usan las tecnologías java-, flash- y pdf;
  • reproductores multimedia.

Sistema inteligente de la nube para actualizar los algoritmos de bloqueo sin usar firmas Dr.Web ShellGuard

La ventaja de la tecnología Dr.Web ShellGuard es que, al analizar las acciones potencialmente peligrosas, el sistema de protección se basa no solo en las reglas escritas que se almacenan en el equipo, sino también en el conocimiento de la nube de reputación Dr.Web, donde se recopilan:

  • los datos sobre algoritmos de programas con intenciones nocivas;
  • la información sobre los archivos deliberadamente "limpios";
  • la información sobre las firmas digitales comprometidas de desarrolladores del software conocidos;
  • la información sobre las firmas digitales del software de publicidad/potencialmente peligroso;
  • los algoritmos de protección de alguna aplicación.

El sistema de la nube incluye los medios para obtener información sobre el funcionamiento de Dr.Web en el PC protegido, así mismo, sobre las amenazas más nuevas detectadas, lo que permite dar respuesta operativa a los errores de funcionamiento del sistema detectados y actualizar las reglas almacenadas en el equipo de forma local.

Algoritmo de funcionamiento del sistema

  • Al detectar un intento de uso de la vulnerabilidad, Dr.Web de forma emergente finaliza el proceso del programa atacado. El antivirus realiza ninguna acción con archivos de la aplicación, incluida la de mover a cuarentena.
  • Como notificación, el usuario ve un aviso sobre la prevención del intento de una acción nociva, que no requiere respuesta.
  • En el registro de eventos Dr.Web se crea una entrada sobre la prevención del ataque.
  • La base de conocimiento en la nube del sistema recibe una notificación inmediata sobre el incidente. En caso necesario, los expertos de Doctor Web dan una respuesta inmediata al mismo, por ejemplo, mejorando el algoritmo de control.

La protección preventiva forma parte de licencias Dr.Web Security Space y el Antivirus Dr.Web para Windows

Tecnologías de detección de programas nocivos similares a los ya presentes en la base de conocimiento del núcleo antivirus Dr.Web

¡El número de programas nocivos que llegan al laboratorio antivirus es de centenares de miles al día!

En estas circunstancias, el nivel de protección del PC se determina por la rapidez de procesamiento del nuevo programa nocivo en el laboratorio antivirus. Pero hasta el lanzamiento de las actualizaciones, el usuario de Dr.Web no se queda desprotegido.

  • La tecnología única de búsqueda sin utilizar firmas Origins Tracing™ permite a Dr.Web detectar con alta probabilidad los virus desconocidos para las bases de firmas de virus de Dr.Web.
  • El analizador heurístico Dr.Web detecta de forma segura todos los tipos de amenazas más populares, detectando la clase de las mismas según los resultados del análisis y sus características únicas.

Configuración de la protección preventiva Dr.Web para Windows

La administración de la configuración se realiza en Dr.Web para Windows en la pestaña «Protección preventiva».

Se ofrecen cuatro modos de configuración al usuario: óptimo (habilitado por los desarrolladores de forma predeterminada), medio, paranóico y de usuario.

screen En modo óptimo están protegidas solo las ramas del registro que se usan por programas malintencionados y pueden ser bloqueadas (se puede prohibir la modificación de las mismas) — sin cargar demasiado los recursos del equipo.
Al mejorar el modo de protección preventiva, el sistema se protege mejor de las acciones del software malintencionado aún desconocido para la base de virus Dr.Web, pero al mismo tiempo aumenta el riesgo de conflictos entre las prohibiciones de la protección preventiva y las necesidades de aplicaciones iniciadas. screen

Configuración de la protección preventiva Dr.Web para Windows

Vamos a ver con más detalle qué le ofrece al usuario la habilitación de cada ajuste.

screen

Archivo HOSTS

Este archivo permite determinar la correspondencia entre el nombre de dominio de host y su dirección IP. La prioridad de procesamiento del archivo HOSTS es mayor que la prioridad de consulta del servidor DNS.

El archivo HOSTS les permite a los malintencionados bloquear el acceso a los sitios web de empresas antivirus y redirigir a los usuarios a sitios web sospechosos.

La protección preventiva Dr.Web no permite a los programas malintencionados realizar cambios en el archivo HOSTS y redirigir a los usuarios a recursos de phishing.

Integridad de las aplicaciones activas

Un proceso — es un conjunto de recursos y datos que están en la memoria operativa del equipo. Un proceso de un programa no debe cambiar el proceso de otro programa. Pero los programas malintencionados? por ejemplo, Trojan.Encoder.686 (CTB-Locker). violan esta regla.

screen
La protección preventiva Dr.Web no permite que los programas malintencionados penetren en procesos de otros programas (por ejemplo, prohíbe a los troyanos cambiar el proceso del navegador para obtener acceso al sistema de banca en línea), y asimismo no les permite realizar su funcionalidad parcialmente ni completamente.
screen

Integridad de los archivos de usuarios

Algunos programas malintencionados de clase de extorsionistas (ransomware) cifran los datos de usuario y requieren un rescate por descifrarlos. La habilitación de esta opción ayuda a protegerse de troyanos cifradores, por ejemplo, Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.686 (CTB-Locker).

La protección preventiva Dr.Web detecta los procesos de programas malintencionados que cambian de forma no deseada los archivos de usuario y bloquea las acciones de troyanos cifradores.

Acceso de bajo nivel al disco

En caso de funcionamiento ordinario del sistema operativo Windows, el acceso a los archivos se realiza por medio de consultar el sistema de archivos controlado por el SO. Los troyanos-bootkits que cambian las áreas de carga del disco, consultan el disco directamente, esquivando el sistema de archivos Windows — consultando los sectores determinados del disco.

La penetración de un troyano en el área de descarga dificulta considerablemente tanto la detección del mismo como el proceso de desinfección.

screen
La protección preventiva Dr.Web bloquea la posibilidad del cambio de las áreas de carga del disco por programas malintencionados y previene el inicio de troyanos en un equipo.
screen

Inicio de controladores

Muchos rootkits inician sus controladores de forma oculta y servicios para ocultar su presencia en un equipo y realizar las acciones no sancionadas por el usuario, por ejemplo, enviar nombres de usuarios y contraseñas, así como otra información de identificación a los malintencionados.

La protección preventiva de Dr.Web no permite iniciar controladores nuevos o desconocidos sin que lo sepa el usuario.

Opciones de inicio de aplicaciones

En el registro del SO Windows hay una clave (entry) Image File Execution Options usando la cual para cualquier aplicación Windows se puede asignar un programa que ayuda a los informáticos a depurar el código escrito, asimismo, permitiendo modificar los datos del proceso depurado. Usando esta clave, el software malintencionado, al haber sido asignado como depurador de algún proceso del sistema o de aplicación (por ejemplo, de Internet Explorer o navegador), obtiene acceso completo a lo que interesa a los malintencionados.

screen
La protección preventiva de Dr.Web bloquea el acceso a la clave del registro Image File Execution Options. Los usuarios ordinarios no tienen necesidad real de depurar las aplicaciones al vuelo, y el riesgo de usar la clave Image File Execution Options por programas malintencionados es muy alto.
screen

Controladores de dispositivos multimedia

Se conocen algunos programas malintencionados que crean archivos ejecutables y registran los mismos como dispositivos virtuales.

La protección preventiva Dr.Web bloquea las ramas del registro responsables de controladores de dispositivos virtuales, lo que imposibilita la instalación de un nuevo dispositivo virtual.

Opciones del caparazón Winlogon, Notificadores Winlogon

La interfaz de Winlogon notification package realiza la posibilidad de procesar los eventos asignados para la entrada y salida de usuarios, inicio y finalización del sistema operativo, y algunos otros. Los programas malintencionados, al obtener acceso a Winlogon notification package, pueden reiniciar el SO, desconectar el equipo, impedir que los usuarios entren en el entorno de trabajo del SO. Así funcionan, por ejemplo, Trojan.Winlock.3020, Trojan.Winlock.6412.

screen
screen
La protección preventiva Dr.Web prohibe la modificación de las ramas del registro responsables de Winlogon notification package, y no permite que los programas malintencionados añadan la ejecución de las nuevas tareas necesarias para los malintencionados, a la lógica del funcionamiento del sistema operativo.
screen

Autoinicio del caparazón Windows

La opción bloquea varias opciones a la vez en el registro Windows en la rama [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: por ejemplo, AppInit_DLLs (hace que Windows descargue los DLL indicados cada vez al iniciar algún programa), AppInit_DLLs (puede usarse para implementar un rootkit en Windows), Run (necesario para iniciar programas en aspecto minimizado una vez iniciado el sistema operativo), IconServiceLib (responsable de la carga de la biblioteca IconCodecService.dll, necesaria para la visualización normal del escritorio e iconos de la pantalla).

La protección preventiva Dr.Web bloquea algunas opciones en el registro Windows, por ejemplo, impidiendo que los virus cambien la visualización normal del Escritorio o impidiendo al rootkit ocultar la presencia del troyano en el sistema.

Asociaciones de archivos ejecutables

Algunos programas malintencionados violan las asociaciones de archivos ejecutables, y como resultado, los programas no se inician – o en vez de un programa que necesita el usuario se inicia un programa asignado por el software malintencionado.

screen
La protección preventiva de Dr.Web no permite que el software malintencionado modifique las reglas de inicio de programas.
screen

Directivas de restricción de inicio de programas (SRP)

En Windows es posible configurar el sistema de restricción de inicio de programas (SRP) para permitir el inicio de programas solo desde carpetas determinadas (por ejemplo, ProgrammFiles) y prohibir la ejecución de programas desde otras fuentes. El bloqueo de la rama del registro responsable de configuración de directivas SRP, prohíbe realizar modificaciones en directivas ya configuradas, de esta forma, mejorando la protección ya realizada.

La protección preventiva Dr.Web permite proteger el sistema contra el software malintencionado que llega al equipo a través del correo y dispositivos extraíbles — y que se inicia, por ejemplo, desde un catálogo temporal. Se recomienda usar la opción en el entorno corporativo.

Complementos de Internet Explorer (BHO)

Usando esta configuración, se puede prohibir la instalación de los nuevos complementos para Internet Explorer por medio de bloquear la rama correspondiente del registro.

screen
La protección preventiva Dr.Web protege el navegador contra complementos malintencionados, por ejemplo, contra bloqueadores del navegador.
screen

Autoinicio de programas

Prohíbe la modificación de varias ramas del registro responsables de autoinicio de aplicaciones.

La protección preventiva Dr.Web permite impedir el autoinicio de programas malintencionados para que los mismos no puedan registrarse en el registro para el inicio posterior.

Autoinicio de directivas

La opción bloquea la rama del registro usando la cual se puede iniciar cualquier programa al entrar un usuario en el sistema.

screen
La protección preventiva Dr.Web permite impedir el autoinicio de programas determinados, por ejemplo, de los antivirus.
screen

Configuración del modo de seguridad

Algunos troyanos deshabilitan el modo de seguridad de Windows para impedir la desinfección del equipo.

La protección preventiva Dr.Web previene la desactivación del modo de seguridad por medio de bloquear los cambios del registro

Opciones del administrador de sesiones

La opción protege las opciones del administrador de sesiones Windows – un sistema del cual depende la estabilidad de funcionamiento del sistema operativo. Si no hay este bloqueo, los programas malintencionados obtienen la posibilidad de iniciar los variables del entorno, inicio de algunos procesos del sistema. realización de operaciones de eliminar. mover o copiar archivos hasta el inicio completo del sistema etc.

screen
La protección preventiva Dr.Web protege el sistema operativo contra la implementación de programas malintencionados, el inicio de los mismos hasta el inicio completo del sistema operativo — y, por lo tanto, hasta el inicio completo del antivirus.
screen

Servicios del sistema

La opción protege la modificación de opciones del registro responsables del funcionamiento correcto de servicios del sistema. Algunos virus pueden bloquear el editor del registro, complicando el trabajo normal del usuario. Por ejemplo, limpian el Escritorio de accesos directos de programas instalados o no permiten mover archivos.

La protección preventiva Dr.Web no permite que el software malintencionado afecte al funcionamiento correcto de servicios del sistema, por ejemplo, a la creación ordinaria de copias de seguridad de archivos.