Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Поведінковий аналіз

В версіях Dr.Web 9-11.5 цей модуль називався Превентивний захист.

Завдяки модулю Поведінковий аналіз Dr.Web спроможний:

  • захищати від проникнень новітніх, найнебезпечніших шкідливих програм, розроблених із розрахунком на невиявлення традиційними сигнатурними та евристичними механізмами, — об'єктів, які ще не надійшли на аналіз в антивірусну лабораторію «Доктор Веб», а значить, невідомі вірусній базі на момент проникнення в систему.
  • розпізнавати небажані змінення файлів користувача, відстежуючи роботу всіх процесів системи в пошуках дій, характерних для процесів шкідливих програм (наприклад, дій троянців-шифрувальників), не дозволяючи шкідливим об'єктам впровадитися в процеси інших програм.
  • виявляти та нейтралізовувати новітні, ще невідомі вірусній базі Dr.Web загрози: троянців-вимагачів (шифрувальників), інжектори, віддалено керовані шкідливі об'єкти (поширювані для організації ботнетів і шпигунства), а також вірусні пакувальники.

Налаштування

Що дає користувачу кожне налаштування.

Файл HOSTS

Цей файл дозволяє визначити відповідність між доменним іменем хоста та його IP-адресою. Пріоритет обробки файла HOSTS вище, ніж пріоритет звернення до DNS-сервера.

Файл HOSTS дозволяє зловмисникам блокувати доступ до сайтів антивірусних компаній та переспрямовувати користувачів на підробні сайти.

Dr.Web не дає можливості шкідливим програмам змінювати файл HOSTS та переспрямовувати користувачів на фішингові ресурси.

Цілісність запущених програм

Процес — це набір ресурсів та даних, які знаходяться в оперативній пам'яті комп'ютера. Процес, що належить одній програмі, не повинен змінювати процес іншої програми. Але шкідливі програми, наприклад, Trojan.Encoder.686 (CTB-Locker) порушують це правило.

#drweb

Dr.Web не дозволяє шкідливим програмам впроваджуватися в процеси інших програм (наприклад, забороняє троянцям змінювати процес браузера, щоб отримати доступ до системи ДБО), тим самим не даючи їм реалізувати свій функціонал повністю або частково.

Низькорівневий доступ до диска

При штатній роботі операційної системи Windows доступ до файлів відбувається шляхом звернення до файлової системи, яка підконтрольна ОС. Троянці-буткіти, що змінюють завантажувальні області диска, звертаються до диска безпосередньо, оминаючи файлову систему Windows — звертаючись до визначених секторів диска.

Впровадження троянця в завантажувальну область істотно ускладнює як його виявлення, так і процес знешкодження.

#drweb

Dr.Web блокує можливість змінення завантажувальних областей диска шкідливими програмами та запобігає запуску троянців на комп'ютері.

#drweb

Завантаження драйверів

Багато руткітів приховано запускають свої драйвери та служби для маскування своєї присутності на комп'ютері й виконання несанкціонованих користувачем дій, наприклад, відправлення логінів і паролів, а також інших ідентифікаційних відомостей зловмисникам.

Dr.Web унможливлює завантаження нових або невідомих драйверів без відома користувача.

Параметри запуску програм

В реєстрі ОС Windows існує ключ (entry) Image File Execution Options, за допомогою якого для будь-якої програми Windows можна призначити відлагоджувач — програму, яка допомагає програмісту відлагоджувати написаний код, у тому числі дозволяючи модифікувати дані відлагоджуваного процесу. За допомогою даного ключа шкідливе ПЗ, призначене відлагоджувачем якогось системного процесу або програми (наприклад, того самого Internet Explorer або Провідника), отримує повний доступ до того, що цікавить зловмисників.

#drweb

Dr.Web блокує доступ до ключа реєстру Image File Execution Options.
Реальної необхідності відлагоджувати програми «на льоту» у звичайних користувачів немає, а ризик від використання ключа Image File Execution Options шкідливими програмами дуже високий.

#drweb

Драйвери мультимедійних пристроїв

Відомі деякі шкідливі програми, які створюють виконувані файли та реєструють їх як віртуальні пристрої.

Dr.Web блокує гілки реєстру, які відповідають за драйвери віртуальних пристроїв, що унеможливлює встановлення нового віртуального пристрою.

Параметри оболонки Winlogon, Нотифікатори Winlogon

Інтерфейс Winlogon notification package реалізує можливість обробляти події, які призначаються на вхід і вихід користувачів, ввімкнення й вимикання операційної системи, та деякі інші. Шкідливі програми, отримавши доступ до Winlogon notification package, можуть перезавантажувати ОС, вимикати комп'ютер, перешкоджати входу користувачів в робоче середовище ОС. Так чинять, наприклад, Trojan.Winlock.3020, Trojan.Winlock.6412.

#drweb
#drweb

Dr.Web забороняє змінення гілок реєстру, що відповідають за Winlogon notification package, та не дає шкідливим програмам можливості додавати в логіку роботи операційної системи виконання нових завдань, потрібних зловмисникам.

#drweb

Автозапуск оболонки Windows

Опція блокує одразу декілька параметрів в реєстрі Windows в гілці [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: наприклад, AppInit_DLLs (змушує Windows завантажувати вказані DLL щоразу, коли запускається будь-яка програма. AppInit_DLLs може використовуватися для впровадження руткіта в Windows), Run (необхідний для запуску програм в мінімізованому виді після запуску операційної системи), IconServiceLib (відповідає за завантаження бібліотеки IconCodecService.dll, яка необхідна для нормального відображення Робочого столу та значків на екрані).

Dr.Web блокує ряд параметрів в реєстрі Windows, наприклад, забороняючи вірусам змінити нормальне відображення Робочого столу або не дозволяючи руткіту приховати присутність троянця в системі.

Асоціації виконуваних файлів

Деякі шкідливі програми порушують асоціації виконуваних файлів, внаслідок чого програми не запускаються або замість потрібної користувачу програми запускається програма, призначена шкідливим ПЗ.

#drweb

Dr.Web не дозволяє шкідливому ПЗ змінити правила запуску програм.

#drweb

Політики обмеження запуску програм (SRP)

В Windows можна налаштувати систему обмеження запуску програм (SRP) в такий спосіб, щоб дозволити запуск програм тільки з окремих каталогів (наприклад, з Program Files) та заборонити виконання програм з інших джерел. Блокування гілки реєстру, що відповідає за налаштування політик SRP, забороняє вносити змінення у вже налаштовані політики, таким чином посилюючи вже реалізований захист.

Dr.Web дозволяє захистити систему від шкідливого ПЗ, що потрапляє на комп'ютер через пошту та змінні носії та запускається, наприклад, з тимчасового каталогу. Опція рекомендується до використання в корпоративному середовищі.

Під'єднувані модулі Internet Explorer (BHO)

За допомогою даної опції можна заборонити встановлення нових під'єднуваних модулів для Internet Explorer шляхом блокування відповідної гілки реєстру.

#drweb

Dr.Web захищає браузер від шкідливих під'єднуваних модулів, наприклад, від блокувальників браузера.

#drweb

Автозапуск програм

Забороняє змінення декількох гілок реєстру, відповідальних за автозапуск програм.

Dr.Web дозволяє запобігти автозапуску шкідливих програм, не даючи їм зареєструватися в реєстрі для подальшого запуску.

Автозапуск політик

Опція блокує гілку реєстру, за допомогою якої можна запустити будь-яку програму при вході користувача в систему.

#drweb

Dr.Web Dr.Web дозволяє запобігти автозапуску визначених програм, наприклад, анти-антивірусів.

#drweb

Конфігурація безпечного режиму

Деякі троянці відключають безпечний режим Windows для ускладнення лікування комп'ютера.

Dr.Web запобігає відключенню безпечного режиму шляхом блокування змінень реєстру.

Параметри менеджера сесій

Опція захищає параметри диспетчера сеансів Windows — системи, від якої залежить стабільність роботи операційної системи. За відсутності такого блокування шкідливі програми отримують можливість ініціалізації змінних оточення, запуску ряду системних процесів, виконання операцій видалення, переміщення або копіювання файлів до повного завантаження системи тощо.

#drweb

Dr.Web захищає операційну систему від впровадження шкідливих програм, їх запуску до повного завантаження операційної системи — та, відповідно, до завершення запуску антивірусу.

#drweb

Системні служби

Опція захищає змінення параметрів реєстру, що відповідають за нормальну роботу системних служб.

Деякі віруси можуть блокувати редактор реєстру, ускладнюючи нормальну роботу користувача. Наприклад, очищують Робочий стіл від ярликів встановлених програм або не дають переміщувати файли.

Dr.Web не дозволяє шкідливому ПЗ порушити нормальну роботу системних служб, наприклад, втрутитися в штатне створення резервних копій файлів.

Режими налаштувань

Користувачу пропонуються чотири режими налаштувань: оптимальний (включений розробниками за замовчауванням), середній, агресивний та режим користувача.

#drweb

В Оптимальному режимі захищені тільки ті гілки реєстру, які використовуються шкідливими програмами та які можна заблокувати (заборонити їх змінення) без значного навантаження на ресурси комп'ютера.

При підвищенні режиму захисту забезпечується додаткова безпека системи на випадок дій шкідливого ПЗ, ще невідомого вірусній базі Dr.Web, проте одночасно зростає й ризик виникнення конфліктів між заборонами Монітора активності та потребами запущених програм.

#drweb