DE RU CN DE EN ES FR JP PL UA

News & Events | Sonderangebote | Lizenzierung | Zentrum zur Bekämpfung von Cyber-Kriminalität | Unternehmen

Viele böswillige Computerprogramme weisen ähnliche Verhaltensmuster auf, nutzen dieselben Schwachstellen im Betriebssystem aus und setzen gleiche Einschleusungstechniken ein.

Aufgrund der Programmanalyse durch den Abgleich von Verhaltensweisen verdächtiger Programme mit bereits bekannten Verhaltensmodellen kann Dr.Web Malware sofort erkennen und sperren, auch wenn eine entsprechende Signatur in der Dr.Web Virendatenbank fehlt.

Dies ist vor allem einer ganzen Reihe von verschiedenen Technologien, die nicht von der Signatursuche abhängen, zu verdanken. All diese Technologien sind von Sicherheitsspezialisten von Doctor Web entwickelt worden.

Einige davon sind:

Technologie der universalen Entpackung von böswilligen Dateien

Cyber-Kriminelle wenden für die Entwicklung eines böswilligen Programms viel Zeit auf. In der Regel wird es weder durch Signatur- noch Nichtsignatursuche erkannt. Nicht selten wird es auch durch ein aktuelles Antivirenprogramm getestet. Um den Aufwand zu vermeiden, verpacken Cyber-Kriminelle ihre Schädlinge in einem unbekannten Format und verschlüsseln diese. Die meisten Antivirenprogramme brauchte eine neue Signatur, um einen Schädling zu erkennen. Das bedeutet, dass Anwender ungeschützt bleiben, bis ein Sicherheits-Update veröffentlicht wird.

Dr.Web setzt deshalb folgende Technologien ein:

  • Dr.Web FLY-CODE ist eine einzigartige Technologie für die universale Entpackung. Durch diese Technologie können Viren entdeckt werden, die auch mit unbekannten Packprogrammen gepackt wurden.
  • Die Rundum-Analyse gepackter Bedrohungen erhöht die Effizienz bei der Erkennung „neuer“ Viren, die durch neue Packer getarnt sind, weil sie bereits mit einer vorhandenen Signatur erkannt werden. Dadurch bleibt die Virendatenbank kompakt und benötigt weniger Systemressourcen sowie kleinere Updates. Diese Eigenschaften geben Dr.Web hohen Durchsatz bei der Erkennung und Beseitigung von Viren & Co.
Technologie der Sperrung von böswilligen Prozessen aufgrund der Verhaltensanalyse

Heutige Cyber-Kriminelle jagen nach Daten und Geld. Deshalb entwickeln sie neue und neue Programme, die durch Antivirenprogramme weder erkannt noch gesperrt werden sollen. Jährlich wächst das Risiko, dass ein solcher Schädling auf Ihren PC gelangt. Unter diesen Bedingungen ist die Verhaltenskontrolle der Services eines Betriebssystems sowie der gestarteten Programmen eine Lösung.

  • Dr.Web Process Heuristic schützt vor neuen Viren & Co., die durch Signaturen oder andere Heuristiken nicht erkannt werden bzw. nicht in der Dr.Web-Virendatenbank eingetragen sind. Dr.Web Process Heuristic analysiert das Verhalten laufender Programme und vergleicht es mit Verhaltensmustern schon bekannter böswilliger Programme. Weist das Verhalten des Programms hohe Ähnlichkeit zu schädlichen Verhaltensmustern auf, wird es als Bedrohung erkannt und neutralisiert.

Im Unterschied zu traditionellen Verhaltensanalyse-Tools, die nur auf das Wissen einer Datenbank (das auch Cyber-Kriminellen bekannt ist) zugreifen, analysiert Dr.Web Process Heuristic das Verhalten jedes Programms u.a. aufgrund von Daten aus der Dr.Web Cloud. Somit kann auf die Gefahr eines unbekannten Programms geschlossen und eine Maßnahme zur Neutralisierung der Bedrohung beschlossen werden.

Diese Technologie reduziert so Schäden durch Datenverlust auf ein Minimum — und das bei einer minimalen Systemauslastung.

Dr.Web Process Heuristic überwacht alle Versuche der Systemmodifikation und:

  • erkennt Prozesse von böswilligen Programmen (u.a. Trojaner), die Benutzerdateien modifizieren;
  • hindert böswillige Programme daran, sich in Prozesse anderer Programme einzubetten;
  • schützt gegen die Modifikation von kritischen Systemzonen;
  • erkennt und bricht verdächtige sowie unzuverlässige Szenarien ab;
  • sperrt die Modifikation von Bootsektoren durch Malware (u.a. Trojaner) auf dem Rechner des Benutzers;
  • beugt dem Ausschalten eines sicheren Windows-Modus vor.
  • hindert böswillige Programme daran, neue Aufgaben zu übernehmen, die von Cyber-Kriminellen angeordnet wurden. Darüber hinaus werden Parameter im Windows- Registry gesperrt, wodurch Viren & Co. den Desktop nicht anpassen und sich im System nicht verdecken können;
  • hindert Schädlinge daran, Regeln zum Starten von Programmen anzupassen.

Dr.Web Process Heuristic sorgt für die Sicherheit Ihres Betriebssystems seit dem Start Ihres Betriebssystem und überholt somit die Signatursuche eines Antivirenprogramms, das sich auf die Signatursuche stützt! Die Technologie ist in der Lage,

  • neue und unbekannte Treiber ohne Benutzerbeteiligung zu sperren.
  • den automatischen Start von böswilligen Programmen und Anwendungen wie Anti-Antivirenprogramme durch die Sperrung von Einträge im Systemregistry zu blockieren.
  • Registryzweige, die für Treiber der virtuellen Endgeräte verantwortlich sind, zu sperren. Dies macht die Installation eines neuen virtuellen Gerätes unmöglich.
  • die Kommunikation zwischen Spyware und dem Verwaltungsserver zu sperren.
  • böswillige Programme daran zu hindern, sich in Systemdienste und die Sicherung von Dateien einzuschleusen.

Dr.Web Process Heuristic kann sofort eingesetzt werden. Der Benutzer kann aber immer die Kontrollregeln bedarfsgerecht einstellen!

Die neue Technologie Dr.Web ShellGuard schiebt Exploits (böswillige Objekte, die unbekannte Sicherheitslücken oder Zero-Day-Sicherheitslücken ausnutzen, um die Kontrolle über angegriffene Applikationen oder das attackierte Betriebssystem zu gewinnen) einen Riegel vor.

Es gibt keine unverwundbaren Systeme!
Softwareentwickler sind ständig damit beschäftigt, Sicherheitslücken durch neue Updates zu schließen. Microsoft macht das z.B. ziemlich oft. Einige Updates werden aber erst später (oder überhaupt nicht) installiert. Cyber-Kriminelle sind deshalb ständig auf der Suche nach neuen Schwachstellen. Darüber hinaus nutzen sie bereits bekannte Sicherheitslücken auf Seiten der potenziellen Opfer aus.

Dr.Web ShellGuard schützt die am meisten verbreiteten Anwendungen, die praktisch auf allen Rechnern unter Windows installiert werden:

  • Alle beliebten Internetbrowser (Internet Explorer, Mozilla Firefox, Yandex Browser, Google Chrome, Vivaldi Browser);
  • MS Office-Anwendungen inklusive MS Office 2016;
  • Systemanwendungen;
  • Anwendungen, die java-, flash- und pdf-Technologien ausnutzen;
  • Mediaplayer.

Intelligentes Cloud-System zum Update von Algorithmen der Nicht-Signatur-Suche Dr.Web ShellGuard

Der Vorteil von Dr.Web ShellGuard ist, dass die Technologie bei der Verhaltensanalyse nicht nur auf die auf dem PC abgespeicherten Daten, sondern auch auf die Daten in der Dr.Web Cloud zugreift. Diese Daten umfassen:

  • Daten zu böswilligen Programmalgorithmen;
  • Daten zu sauberen Dateien;
  • Daten zu gehackten digitalen Signaturen bekannter Softwareentwickler;
  • Daten zu Digitalsignaturen von Adware/Risware;
  • Schutzalgorithmen für Applikationen.

Mit dem Cloud-System kann das Antivirenprogramm schnell auf aktuelle Daten zu neuesten Bedrohungen zugreifen und schnell auf beliebige Probleme reagieren. Darüber hinaus können lokale Regeln entsprechend angepasst werden.

Funktionsalgorithmus

  • Wenn der Versuch der Ausnutzung einer Sicherheitslücke durch einen Schadcode entdeckt wird, bricht Dr.Web den böswilligen Prozess ab. Dateien der angegriffenen Anwendungen bleiben unangetastet.
  • Der Benutzer sieht, dass eine böswillige Aktion unterbunden wurde. Eine weitere Reaktion auf das Ereignis ist nicht nötig.
  • Ein entsprechendes Ereignis wird protokolliert.
  • Das Cloud-System erhält blitzschnell eine Benachrichtigung. Bei Bedarf werden die Sicherheitsanalysten von Doctor Web auf ein Ereignis reagieren und den Algorithmus anpassen.

Der Präventivschutz ist in Lizenzen für Dr.Web Security Space und Dr.Web Antivirus für Windows mit enthalten.

Technologie der Entdeckung von Malware, die früher durch Dr.Web Virus-Finding Engine erfasst wurde

Hunderttausende böswillige Objekte gehen täglich im Virenlabor von Doctor Web ein! Und diese Zahl wächst.

Unter solchen Bedingungen hängt der Schutz Ihres Rechners davon ab, wie schnell eine Bedrohung bearbeitet und anschließend eine Signatur veröffentlicht werden kann.

  • Die Technologie der Nicht-Signatursuche Origins Tracing™ sorgt dafür, dass noch nicht eingetragenen Bedrohungen entdeckt werden.
  • Dr.Web Heuristik detektiert alle verbreiteten Virenbedrohungen und klassifiziert sie nach ihren jeweiligen Kennungen.

Dr.Web Präventivschutz für Windows einstellen

Die entsprechenden Einstellungen werden in Dr.Web für Windows auf der Registerkarte Präventivschutz vorgenommen (Im Administratormodus klicken Sie auf das Rädchen-Icon Einstellungen).

Der Benutzer kann unter vier Optionen auswählen: Optimal (nach Voreinstellungen aktiviert), Medium, Paranoid und Benutzerdefiniert.

screen Im Optimalen Modus sind nur die Registry-Zweige geschützt, die von Malware verwendet und durch den Benutzer gesperrt werden können (oder deren Anpassung gesperrt werden kann). Dies erfolgt ohne größere Systemauslastung.
Bei einer Erhöhung der Schutzstufe wird das System sorgfältiger gegen Malware, die noch nicht in die Dr.Web Virendatenbank aufgenommen wurde, geschützt. Gleichzeitig wächst die Wahrscheinlichkeit von Konflikten zwischen Sperrungen des Dr.Web Präventivschutzes und Bedürfnissen von gestarteten Anwendungen. screen

Dr.Web Präventivschutz für Windows einstellen

Nachfolgend wird jede Einstellung detailliert beschrieben:

screen

HOSTS-Datei

Durch diese Datei kann geprüft werden, ob der Domainname des Hosts mit seiner IP-Adresse übereinstimmt. Die Bearbeitung einer HOSTS-Datei ist prioritätsmäßig höher eingestuft als der Zugriff auf einen DNS-Server. Durch die HOSTS-Datei kann der Zugang zur Website eines Antivirensoftwareherstellers durch Übeltäter gesperrt werden. Anschließend können Benutzer auf eine böswillige Website weitergeleitet werden.

Der Dr.Web Präventivschutz unterbindet jegliche Versuche von Malware, die HOSTS-Datei zu bearbeiten und Benutzer auf Phishing-Websites weiterzuleiten.

Integrität von gestarteten Anwendungen

Der Prozess ist ein Ressourcen- und Daten-Satz, der im Hauptspeicher eines Rechners läuft. Der Prozess, der einem Programm angehört, soll Prozesse anderer Programme nicht ändern. Wie sieht es mit böswilligen Programmen, z.B. Trojan.Encoder.686 (CTB-Locker) aus? Verletzen sie diese Regel?

screen
Der Dr.Web Präventivschutz unterbindet das Eindringen von Malware in Prozesse anderer Programme, u.a. durch das Sperren der Anpassung eines Browserprozesses durch den Trojaner. So wird Aktivitäten von Trojanern teilweise oder gänzlich vorgebeugt.
screen

Integrität von Benutzerdateien

Einige Erpressertrojaner (ransomware) verschlüsseln Benutzerdateien. Durch die aktivierte Option schützen Sie sich gegen Verschlüsselungstrojaner, u.a. Trojan.Encoder.94, Trojan.Encoder.102, Trojan.Encoder.686 (CTB-Locker).

Der Dr.Web Präventivschutz erkennt Prozesse von böswilliger Software und sperrt Verschlüsselungstrojaner.

Laufwerkszugriff auf niedriger Ebene

Wenn Windows regulär läuft, erfolgt der Zugriff auf Dateien über ein Dateisystem, das dem Betriebssystem untergeordnet ist. Bootkit-Trojaner, die Bootsektoren einer Festplatte anpassen, greifen auf die Festplatte am Windows-Dateisystem vorbei zu. Die Einschleusung eines Trojaners in den Bootsektor erschwert dessen Entdeckung und Neutralisierung.

screen
Der Dr.Web Präventivschutz unterbindet alle Versuche von Malware, Bootsektoren der Festplatten zu bearbeiten, und beugt dem Starten von Trojanern vor.
screen

Herunterladen von Treibern

Viele Rootkits starten ihre Treiber und Dienste um ihre unerlaubten Aktivitäten zu verdecken, z.B. Versand von Benutzerdaten sowie anderer sensiblen Informationen.

Der Dr.Web Präventivschutz unterbindet das Herunterladen von neuen oder unbekannten Treibern ohne Wissen des Benutzers.

Startparameter für Anwendungen

Im Windows-Registry gibt es einen Schlüssel (entry) Image File Execution Options, durch den man eine beliebige Windows-Anwendung starten kann. Man kann auch ein Reparaturprogramm zuweisen, das dem Programmierer hilft, den fehlerhaften Code zu reparieren. Durch diesen Schlüssel kann Malware als Reparaturprogramm eines gewissen Prozesses oder einer Anwendung, z.B. Internet Explorer oder Task-Manager, den vollen Zugriff auf beliebige Inhalte erhalten.

screen
Der Dr.Web Präventivschutz sperrt den Zugriff auf den Schlüssel des Registry Image File Execution Options.
Die Benutzer haben keinen Bedarf an einer schnellen Reparatur von Anwendungen und das Risiko durch die Benutzung des Schlüssels Image File Execution Options durch Malware ist sehr hoch.
screen

Treiber von Multimedia-Geräten

Es gibt böswillige Programme, die ausführbare Dateien erstellen und diese als virtuelle Endgeräte registrieren.

Der Dr.Web Präventivschutz sperrt Zweige des Registry, die für Treiber virtueller Endgeräte verantwortlich sind. Dies macht die Installation von neuen virtuellen Endgeräten unmöglich.

Parameter von Winlogon, Winlogon-Benachrichtiger

Die Benutzeroberfläche von Winlogon notification package ermöglicht die Bearbeitung von Ereignissen für das Ein- und Ausloggen der Benutzer, Starten und Herunterfahren des Betriebssystems usw. Malware, die den Zugriff auf Winlogon Anmeldeprozess erhalten haben, können das Betriebssystem neu starten, den PC ausschalten oder die Anmeldung im Arbeitsumfeld des Betriebssystems verhindern. So verfahren z.B. Trojan.Winlock.3020, Trojan.Winlock.6412.

screen
screen
Der Dr.Web Präventivschutz sorgt für geschützte Registry-Zweige, die für Winlogon-Melder verantwortlich sind, und verhindert die Aufnahme von neuen Aufgaben durch Cyber-Kriminelle.
screen

Autostart der Windows Shell

Diese Option sperrt mehrere Parameter im Windows-Registry [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] auf einmal, u.a. AppInit_DLLs (lässt Windows definierte DLLs jedes Mal laden, wenn ein Programm startet), AppInit_DLLs (kann zur Einschleusung von Rootkits in Windows verwendet werden) und Run (für den Start von Software im minimierten Fenster erforderlich), IconServiceLib (verantwortlich für das Herunterladen der Bibliothek IconCodecService.dll, die für den Arbeitsplatz und Arbeitsplatz-Icons nötig ist).

Der Dr.Web Präventivschutz sperrt Parameter im Windows-Registry, u.a. hindert Viren daran eine Anpassung der Desktopanzeige vorzunehmen, schützt vor der Tarnung von Trojanern durch Rootkits im System.

Verbindungen ausführbarer Dateien

Einige böswillige Programme stören Verbindungen unter Anwendungen. Das Ergebnis ist, dass sie nicht gestartet werden können oder eine zugewiesene böswillige Anwendung gestartet wird.

screen
Der Dr.Web Präventivschutz sorgt dafür, dass Startregeln für Software unangetastet bleiben.
screen

Einschränkung von Richtlinien für das Starten von Software (SRP)

In Windows kann das Starten von Software eingeschränkt werden. So können Programme dann nur aus definierten Ordnern heraus gestartet werden, z.B. ProgrammFiles. Durch die Sperrung von entsprechenden Registry-Zweigen, die für diese Einschränkung verantwortlich sind, können die Richtlinien nicht angepasst werden. Dies stärkt auch den Virenschutz.

Der Dr.Web Präventivschutz sorgt dafür, dass Ihr Betriebssystem vor Malware, die über E-Mails, temporäre Dateien und Wechseldatenträger auf den Rechner gelangt, geschützt wird. Diese Option ist für Geschäftsanwender besonders empfehlenswert.

Plug-ins für Internet Explorer

Durch diese Option können Sie die Installation von Plug-ins für Internet Explorer durch die Blockierung entsprechender Registry-Zweige sperren.

screen
Der Dr.Web Präventivschutz sorgt dafür, dass der Browser gegen böswillige Plug-ins, u.a. Browser-Blockierer, geschützt wird.
screen

Autostart von Software

Sperrung der Anpassung mehrerer Registry-Zweige, die für den Autostart von Anwendungen verantwortlich ist.

Der Dr.Web Präventivschutz sorgt dafür, dass der Autostart von Malware verhindert wird, indem Einträge im Registry gesperrt werden.

Autostart von Richtlinien

Durch diese Option können Sie einen Registry-Zweig sperren, während sich Benutzer anmelden.

screen
Der Dr.Web Präventivschutz beugt dem automatischen Starten bestimmter Programme, z.B. Anti-Antivirensoftware, vor.
screen

Abgesicherten Modus konfigurieren

Einige Trojaner deaktivieren den abgesicherten Modus von Windows und machen das Desinfizieren eines Rechners schwieriger.

Der Dr.Web Präventivschutz beugt dem Deaktivieren des abgesicherten Modus durch die Sperrung der Registry-Anpassung vor.

Parameter des Sitzungsmanagers

Durch diese Option schützen Sie Parameter des Windows-Sitzungsmanagers, von denen die Funktionsstabilität des Betriebssystems abhängt. Bei einer deaktivierten Option kann Malware folgende Aktionen bis hin zum Abschluss des Ladeprozesses vornehmen: böswillige Parameter initialisieren, Systemprozesse starten, Dateien löschen, kopieren oder verschieben usw.

screen
Der Dr.Web Präventivschutz schiebt Viren & Co. beim Eindringen ins Betriebssystem einen Riegel vor, indem er die Ausführung von Malware während dem Ladevorgang des Betriebssystems (und vor dem Starten der Antivirensoftware) unterbindet.
screen

Systemdienste

Diese Option schützt vor der Anpassung von Registry-Parametern, die für eine reguläre Funktionsweise der Systemdienste verantwortlich sind. Einige Viren können den Registry-Editor sperren und die Arbeit des Benutzers stören, u.a. durch die Entfernung von Desktopverbindungen der installierten Software oder Sperrung der Verschiebung von Dateien.

Der Dr.Web Präventivschutz unterbindet jegliche Versuche von Malware, die reguläre Funktionsweise von Systemdiensten zu stören, z.B. bei der Erstellung von Sicherungskopien der Dateien.