Si utilizza un browser obsoleto!
La pagina può visualizzarsi in modo non corretto.
Nelle versioni Dr.Web 9-11.5 questo modulo si chiamava Protezione preventiva.
Grazie al modulo Analisi comportamentale Dr.Web è in grado di:
Vediamo più nel dettaglio che cosa dà all'utente l'attivazione di ciascuna impostazione.
Questo file consente di stabilire la corrispondenza tra il nome a dominio di un host e il suo indirizzo IP. La priorità dell'elaborazione del file HOSTS è superiore alla priorità della connessione al server DNS.
Il file HOSTS consente ai malintenzionati di bloccare l'accesso ai siti delle aziende antivirus e reindirizzare gli utenti verso siti falsi.
Dr.Web non dà ai programmi malevoli la possibilità di apportare modifiche al file HOSTS e di reindirizzare gli utenti alle risorse di phishing.
Processo — un insieme di risorse e dati che si trovano nella memoria operativa del computer. Un processo che appartiene ad un programma non deve modificare il processo di un altro programma. Ma i programmi malevoli, per esempio Trojan.Encoder.686 (CTB-Locker) violano questa regola.
Dr.Web non consente ai programmi malevoli di introdursi nei processi di altri programmi (per esempio, vieta ai trojan di modificare il processo del browser per ottenere l'accesso a un sistema di online banking) e in questo modo impedisce loro di realizzare le loro funzionalità in tutto o in parte.
Durante il normale funzionamento del sistema operativo Windows gli accessi ai file avvengono attraverso il file system che è controllato dal sistema operativo. I trojan bootkit, che modificano i settori di avvio del disco, accedono direttamente al disco senza utilizzare il file system di Windows — accedendo a settori specifici del disco.
Se un trojan viene introdotto in un settore di avvio, questo rende difficile sia il suo rilevamento che il processo di neutralizzazione.
Dr.Web blocca la possibilità di modifica dei settori di avvio del disco da parte di programmi malevoli e previene l'avvio di trojan sul computer.
Molti rootkit avviano segretamente i loro driver e servizi per mascherare la loro presenza sul computer e per eseguire azioni non autorizzate dall'utente, come per esempio l'invio di login e password e di altre informazioni di identificazione ai malintenzionati.
Dr.Web blocca il caricamento di driver nuovi o sconosciuti all'insaputa dell'utente.
Nel registro di Windows c'è una chiave (entry) Image File Execution Options attraverso cui è possibile assegnare a qualsiasi applicazione Windows un debugger — programma che aiuta un programmatore ad eseguire il debug del codice scritto, tra le altre cose, consentendo di modificare i dati del processo che viene debuggato. Utilizzando questa chiave un software malevolo, se viene nominato debugger di qualche processo o applicazione di sistema (per esempio, Internet Explorer o Esplora risorse), ottiene pieno accesso a ciò che interessa i malintenzionati.
Dr.Web blocca l'accesso alla chiave di registro Image File Execution Options. Gli utenti normali non hanno una reale necessità di eseguire il debug delle applicazioni al volo, mentre è molto alto il rischio che la chiave Image File Execution Options venga utilizzata da parte di programmi malevoli.
Sono noti alcuni programmi malevoli che creano file eseguibili e li registrano come dispositivi virtuali.
Dr.Web blocca i rami di registro responsabili dei driver di dispositivi virtuali, il che rende impossibile l'installazione di un nuovo dispositivo virtuale.
L'interfaccia Winlogon notification package realizza la possibilità di elaborazione degli eventi assegnati al login e logout degli utenti, all'avvio e arresto del sistema operativo e ad alcuni altri eventi. I programmi malevoli, dopo aver ottenuto l'accesso a Winlogon notification package, possono riavviare il sistema operativo, spegnere il computer, impedire agli utenti di accedere all'ambiente di lavoro del sistema operativo. Fanno così, per esempio Trojan.Winlock.3020, Trojan.Winlock.6412.
Dr.Web vieta modifiche dei rami di registro responsabili di Winlogon notification package e non dà ai programmi malevoli la possibilità di aggiungere alle routine di base del sistema operativo l'esecuzione di nuovi task richiesti dai malintenzionati.
L'opzione blocca più parametri alla volta nel registro di Windows nel ramo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]: per esempio, AppInit_DLLs (fa in modo che Windows carichi le DLL specificate ogni volta che viene avviato un programma), AppInit_DLLs (può essere usato per integrare un rootkit in Windows), Run (è necessario per eseguire programmi in una forma minimizzata dopo l'avvio del sistema operativo), IconServiceLib (è responsabile del caricamento della libreria IconCodecService.dll che è necessaria per la normale visualizzazione del desktop e delle icone sullo schermo).
Dr.Web blocca una serie di parametri nel registro di Windows, per esempio, impedendo ai virus di modificare la normale visualizzazione del Desktop o non consentendo a un rootkit di nascondere la presenza di un trojan nel sistema.
Alcuni programmi malevoli violano le associazioni di file eseguibili e di conseguenza programmi non possono essere avviati — o invece di un programma richiesto dall'utente, viene avviato un programma designato dal software malevolo.
Dr.Web non permette al software malevolo di modificare le regole di avvio dei programmi.
In Windows è possibile configurare un sistema di restrizione di avvio dei programmi (SRP) in modo tale da consentire l'avvio di programmi solo da cartelle specifiche (per esempio, Program Files) e vietare l'esecuzione di programmi da altre fonti. Il blocco del ramo di registro responsabile della configurazione dei criteri SRP vieta di apportare modifiche ai criteri già configurati, rafforzando così la protezione già implementata.
Dr.Web consente di proteggere il sistema da programmi malevoli che arrivano sul computer tramite la posta e supporti rimovibili e che si avviano, per esempio, da una directory temporanea. L'opzione è consigliata per l'uso in un ambiente aziendale.
Con questa impostazione è possibile impedire l'installazione di nuovi plugin di Internet Explorer bloccando il ramo di registro corrispondente.
Dr.Web protegge il browser da plugin malevoli, per esempio programmi di blocco del browser.
Vieta modifiche a più rami di registro responsabili dell'esecuzione automatica delle applicazioni.
Dr.Web consente di prevenire l'esecuzione automatica di programmi malevoli, non permettendo loro di iscriversi al registro per il successivo avvio automatico.
L'opzione blocca il ramo di registro attraverso cui è possibile eseguire qualsiasi programma all'accesso dell'utente al sistema.
Dr.Web permette di prevenire l'esecuzione automatica di determinati programmi, per esempio degli anti-antivirus.
Alcuni trojan disattivano la modalità provvisoria di Windows per ostacolare la cura dell'infezione sul computer.
Dr.Web previene la disattivazione della modalità provvisoria, bloccando modifiche del registro.
L'opzione protegge i parametri della gestione sessioni Windows — un sistema da cui dipende la stabilità di funzionamento del sistema operativo. In assenza di tale blocco, i programmi malevoli hanno la possibilità di inizializzare variabili di ambiente, avviare una serie di processi di sistema, eseguire operazioni per rimuovere, spostare o copiare file prima del completo caricamento del sistema ecc.
Dr.Web protegge il sistema operativo dall'introduzione di programmi malevoli, dal loro avvio prima del completo caricamento del sistema operativo — e quindi prima del completo avvio dell'antivirus.
L'opzione protegge la modifica dei parametri del registro che sono responsabili del normale funzionamento dei servizi di sistema.
Alcuni virus possono bloccare l'editor del registro, ostacolando il normale lavoro dell'utente. Per esempio, cancellano sul Desktop le scorciatoie dei programmi installati o non permettono di spostare file.
Dr.Web non permette ai software malevoli di compromettere il normale funzionamento dei servizi di sistema, per esempio, interferire nella regolare creazione delle copie di backup dei file.
All'utente vengono offerte quattro modalità delle impostazioni: ottimale (attivata dagli sviluppatori per impostazione predefinita), media, paranoicale e personalizzata.
In modalità ottimale sono protetti solo i rami di registro che vengono utilizzati dai programmi malevoli e che possono essere bloccati (ne può essere vietata la modifica) — senza carico significativo sulle risorse del computer.
Quando la modalità viene aumentata, il sistema è più accuratamente protetto dalle attività dei software malevoli che non sono ancora sconosciuti dal database dei virus Dr.Web, ma allo stesso tempo aumenta il rischio di conflitti tra le restrizioni di Analisi comportamentale e le esigenze delle applicazioni in esecuzione.