La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Analisi comportamentale

Nelle versioni Dr.Web 9-11.5 questo modulo si chiamava Protezione preventiva.

Grazie al modulo Analisi comportamentale Dr.Web è in grado di:

  • proteggere dall'infiltrazione dei programmi malevoli più recenti e più pericolosi, creati per essere non rilevabili con i metodi tradizionali di firme antivirali e analisi euristica — oggetti le conoscenze su cui non sono state ricevute dal sistema di protezione (per esempio, perché gli ultimi aggiornamenti non sono stati scaricati)
  • riconoscere modifiche indesiderate ai file dell'utente, monitorando il funzionamento di tutti i processi del sistema per scoprire le attività tipiche dei processi di programmi malevoli (per esempio, le attività dei trojan cryptolocker), non permettendo agli oggetti malevoli di incorporarsi nei processi di altri programmi
  • rilevare e neutralizzare le minacce più recenti non ancora conosciute: trojan ransomware (cryptolocker), web injector, oggetti malevoli gestiti da remoto (vengono propagati per organizzare botnet e spiare utenti), nonché packer di virus

Impostazioni

Vediamo più nel dettaglio che cosa dà all'utente l'attivazione di ciascuna impostazione.

File HOSTS

Questo file consente di stabilire la corrispondenza tra il nome a dominio di un host e il suo indirizzo IP. La priorità dell'elaborazione del file HOSTS è superiore alla priorità della connessione al server DNS.

Il file HOSTS consente ai malintenzionati di bloccare l'accesso ai siti delle aziende antivirus e reindirizzare gli utenti verso siti falsi.

Dr.Web non dà ai programmi malevoli la possibilità di apportare modifiche al file HOSTS e di reindirizzare gli utenti alle risorse di phishing.

Integrità delle applicazioni in esecuzione

Processo — un insieme di risorse e dati che si trovano nella memoria operativa del computer. Un processo che appartiene ad un programma non deve modificare il processo di un altro programma. Ma i programmi malevoli, per esempio Trojan.Encoder.686 (CTB-Locker) violano questa regola.

#drweb

Dr.Web non consente ai programmi malevoli di introdursi nei processi di altri programmi (per esempio, vieta ai trojan di modificare il processo del browser per ottenere l'accesso a un sistema di online banking) e in questo modo impedisce loro di realizzare le loro funzionalità in tutto o in parte.

Accesso a disco a basso livello

Durante il normale funzionamento del sistema operativo Windows gli accessi ai file avvengono attraverso il file system che è controllato dal sistema operativo. I trojan bootkit, che modificano i settori di avvio del disco, accedono direttamente al disco senza utilizzare il file system di Windows — accedendo a settori specifici del disco.

Se un trojan viene introdotto in un settore di avvio, questo rende difficile sia il suo rilevamento che il processo di neutralizzazione.

#drweb

Dr.Web blocca la possibilità di modifica dei settori di avvio del disco da parte di programmi malevoli e previene l'avvio di trojan sul computer.

#drweb

Caricamento dei driver

Molti rootkit avviano segretamente i loro driver e servizi per mascherare la loro presenza sul computer e per eseguire azioni non autorizzate dall'utente, come per esempio l'invio di login e password e di altre informazioni di identificazione ai malintenzionati.

Dr.Web blocca il caricamento di driver nuovi o sconosciuti all'insaputa dell'utente.

Parametri di avvio di applicazioni

Nel registro di Windows c'è una chiave (entry) Image File Execution Options attraverso cui è possibile assegnare a qualsiasi applicazione Windows un debugger — programma che aiuta un programmatore ad eseguire il debug del codice scritto, tra le altre cose, consentendo di modificare i dati del processo che viene debuggato. Utilizzando questa chiave un software malevolo, se viene nominato debugger di qualche processo o applicazione di sistema (per esempio, Internet Explorer o Esplora risorse), ottiene pieno accesso a ciò che interessa i malintenzionati.

#drweb

Dr.Web blocca l'accesso alla chiave di registro Image File Execution Options. Gli utenti normali non hanno una reale necessità di eseguire il debug delle applicazioni al volo, mentre è molto alto il rischio che la chiave Image File Execution Options venga utilizzata da parte di programmi malevoli.

#drweb

Driver di dispositivi multimediali

Sono noti alcuni programmi malevoli che creano file eseguibili e li registrano come dispositivi virtuali.

Dr.Web blocca i rami di registro responsabili dei driver di dispositivi virtuali, il che rende impossibile l'installazione di un nuovo dispositivo virtuale.

Parametri della shell Winlogon, Notificatori di Winlogon

L'interfaccia Winlogon notification package realizza la possibilità di elaborazione degli eventi assegnati al login e logout degli utenti, all'avvio e arresto del sistema operativo e ad alcuni altri eventi. I programmi malevoli, dopo aver ottenuto l'accesso a Winlogon notification package, possono riavviare il sistema operativo, spegnere il computer, impedire agli utenti di accedere all'ambiente di lavoro del sistema operativo. Fanno così, per esempio Trojan.Winlock.3020, Trojan.Winlock.6412.

#drweb
#drweb

Dr.Web vieta modifiche dei rami di registro responsabili di Winlogon notification package e non dà ai programmi malevoli la possibilità di aggiungere alle routine di base del sistema operativo l'esecuzione di nuovi task richiesti dai malintenzionati.

#drweb

Avvio automatico della shell di Windows

L'opzione blocca più parametri alla volta nel registro di Windows nel ramo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]: per esempio, AppInit_DLLs (fa in modo che Windows carichi le DLL specificate ogni volta che viene avviato un programma), AppInit_DLLs (può essere usato per integrare un rootkit in Windows), Run (è necessario per eseguire programmi in una forma minimizzata dopo l'avvio del sistema operativo), IconServiceLib (è responsabile del caricamento della libreria IconCodecService.dll che è necessaria per la normale visualizzazione del desktop e delle icone sullo schermo).

Dr.Web blocca una serie di parametri nel registro di Windows, per esempio, impedendo ai virus di modificare la normale visualizzazione del Desktop o non consentendo a un rootkit di nascondere la presenza di un trojan nel sistema.

Associazione di file eseguibili

Alcuni programmi malevoli violano le associazioni di file eseguibili e di conseguenza programmi non possono essere avviati — o invece di un programma richiesto dall'utente, viene avviato un programma designato dal software malevolo.

#drweb

Dr.Web non permette al software malevolo di modificare le regole di avvio dei programmi.

#drweb

Criteri restrizione software (SRP)

In Windows è possibile configurare un sistema di restrizione di avvio dei programmi (SRP) in modo tale da consentire l'avvio di programmi solo da cartelle specifiche (per esempio, Program Files) e vietare l'esecuzione di programmi da altre fonti. Il blocco del ramo di registro responsabile della configurazione dei criteri SRP vieta di apportare modifiche ai criteri già configurati, rafforzando così la protezione già implementata.

Dr.Web consente di proteggere il sistema da programmi malevoli che arrivano sul computer tramite la posta e supporti rimovibili e che si avviano, per esempio, da una directory temporanea. L'opzione è consigliata per l'uso in un ambiente aziendale.

Plugin di Internet Explorer (BHO)

Con questa impostazione è possibile impedire l'installazione di nuovi plugin di Internet Explorer bloccando il ramo di registro corrispondente.

#drweb

Dr.Web protegge il browser da plugin malevoli, per esempio programmi di blocco del browser.

#drweb

Esecuzione automatica programmi

Vieta modifiche a più rami di registro responsabili dell'esecuzione automatica delle applicazioni.

Dr.Web consente di prevenire l'esecuzione automatica di programmi malevoli, non permettendo loro di iscriversi al registro per il successivo avvio automatico.

Esecuzione automatica criteri

L'opzione blocca il ramo di registro attraverso cui è possibile eseguire qualsiasi programma all'accesso dell'utente al sistema.

#drweb

Dr.Web permette di prevenire l'esecuzione automatica di determinati programmi, per esempio degli anti-antivirus.

#drweb

Configurazione della modalità provvisoria

Alcuni trojan disattivano la modalità provvisoria di Windows per ostacolare la cura dell'infezione sul computer.

Dr.Web previene la disattivazione della modalità provvisoria, bloccando modifiche del registro.

Impostazioni della gestione sessioni

L'opzione protegge i parametri della gestione sessioni Windows — un sistema da cui dipende la stabilità di funzionamento del sistema operativo. In assenza di tale blocco, i programmi malevoli hanno la possibilità di inizializzare variabili di ambiente, avviare una serie di processi di sistema, eseguire operazioni per rimuovere, spostare o copiare file prima del completo caricamento del sistema ecc.

#drweb

Dr.Web protegge il sistema operativo dall'introduzione di programmi malevoli, dal loro avvio prima del completo caricamento del sistema operativo — e quindi prima del completo avvio dell'antivirus.

#drweb

Servizi di sistema

L'opzione protegge la modifica dei parametri del registro che sono responsabili del normale funzionamento dei servizi di sistema.

Alcuni virus possono bloccare l'editor del registro, ostacolando il normale lavoro dell'utente. Per esempio, cancellano sul Desktop le scorciatoie dei programmi installati o non permettono di spostare file.

Dr.Web non permette ai software malevoli di compromettere il normale funzionamento dei servizi di sistema, per esempio, interferire nella regolare creazione delle copie di backup dei file.

Modalità delle impostazioni

All'utente vengono offerte quattro modalità delle impostazioni: ottimale (attivata dagli sviluppatori per impostazione predefinita), media, paranoicale e personalizzata.

#drweb

In modalità ottimale sono protetti solo i rami di registro che vengono utilizzati dai programmi malevoli e che possono essere bloccati (ne può essere vietata la modifica) — senza carico significativo sulle risorse del computer.

Quando la modalità viene aumentata, il sistema è più accuratamente protetto dalle attività dei software malevoli che non sono ancora sconosciuti dal database dei virus Dr.Web, ma allo stesso tempo aumenta il rischio di conflitti tra le restrizioni di Analisi comportamentale e le esigenze delle applicazioni in esecuzione.

#drweb