Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Sur la ligne de front : le travail quotidien des analystes de virus de Doctor Web

Lu par: 163 Commentaires: 6 Cote de popularité: 8

mardi 2 mars 2021

Comme on le sait, la base du fonctionnement de tout logiciel antivirus consiste en l’actualisation de ses bases virales qui doivent être maintenues à jour. Plus il y a de signatures enregistrées dans la mémoire du module antivirus, plus haute est la probabilité de détecter un programme malveillant qui tente de pénétrer dans une machine protégée. Pour une protection fiable, il est nécessaire de réduire au minimum le délai entre l'émergence de nouvelles menaces et l'ajout de leurs signatures aux bases virales, c'est pourquoi le logiciel Dr.Web reçoit des mises à jour toutes les heures. Une telle rapidité de mises à jour nécessite beaucoup de travail, compte tenu notamment du flux continu de nouveaux programmes malveillants qui apparaissent dans l'espace numérique. Tous les jours, le Laboratoire de Doctor Web reçoit environ 1 million d'échantillons pour analyse !

Dans cette publication, nous dévoilons quelques secrets et vous parlons du travail de ceux qui sont sur la ligne de front et dont le travail est indispensable pour tout produit antivirus, les analystes de virus et leur laboratoire.

Pour entamer le sujet, voici quelques statistiques. Comme indiqué plus haut, notre laboratoire reçoit jusqu'à 1 million d'échantillons par jour pour analyse. " Comment est-il possible de traiter un tel volume de données en un jour ? " Il convient de noter que tous les échantillons reçus ne sont pas malveillants. Cependant, ils le sont tous potentiellement, donc chacun d'entre eux doit être analysé. Par exemple, pour l'OS Android, les analystes identifient environ 40.000 nouvelles menaces par jour.

les analystes sont aidés par un système automatisé. 93-95% de tous les échantillons sont examinés par un système propriétaire de traitement du flux viral. Le reste est à analyser manuellement par les analystes.

Le Laboratoire, que l’on appelle aussi VirLab, est divisé en plusieurs équipes, dont chacune est responsable de tâches spécifiques.

  1. Le service de développement interne et d'analyse automatisée.

    Il est responsable du développement de l'infrastructure d'analyse automatisée, des honeypots, ainsi que du produit Dr.Web vxCube.

  2. Service traitement du flux et Support. Ce service traite le flux de tous les objets à examiner et les demandes des utilisateurs et du service de support technique.

    C'est cette équipe qui est responsable du traitement du flux entrant des menaces qui ne peuvent pas être traitées automatiquement. De plus, ce département traite toutes les demandes de notre support et des clients.

  3. Service de recherches et d'analyse des menaces complexes.

    C'est ici que nous examinons des menaces inconnues ou complexes, des botnets et des attaques. Le département est également chargé de décrypter les fichiers infectés et de prendre en charge les enquêtes dans le cadre du traitement des Incidents Informatiques Viraux.

  4. Service d'analyse des menaces mobiles.

    Les spécialistes de ce groupe se concentrent sur les menaces ciblant les appareils mobiles.

Il existe deux méthodes d'analyse. La première - notre sandbox basée sur Dr.Web vxCube et modifiée en fonction de nos besoins et objectifs. La deuxième -le test manuel en utilisant des machines virtuelles et des émulateurs.

Combien de temps peut prendre une analyse manuelle ? Il est à noter que l'analyste n'a pas toujours besoin d'utiliser les tests dynamiques d'un logiciel pour voir s'il est malveillant ou pas. Un analyste expérimenté n’a pas besoin de plus de 5 minutes pour examiner un fichier suspect et son code source afin de déterminer son statut. Si un fichier s'avère malveillant, l'analyste l'ajoute à la base virale.

Cependant, lorsque nous effectuons une enquête complète sur les menaces complexes et que l'objectif est de comprendre comment ils fonctionnent, l'analyse d'un échantillon peut prendre jusqu'à une semaine, y compris la mise en place de la description technique brute à usage interne. Le temps consacré à cette tâche dépend fortement du volume du code à analyser.

Tous les échantillons sont classés selon différents algorithmes. Si le laboratoire trouve quelque chose d'inconnu, par exemple, une toute nouvelle famille de chevaux de Troie, les analystes réalisent leur propre étude.

D'où le laboratoire reçoit-il tous ces échantillons ? Il existe plusieurs sources, par exemple, les agrégateurs viraux, les pièges appelés honeypots, notre propre télémétrie et, bien sûr, les utilisateurs. L'échange d'échantillons avec d'autres éditeurs antivirus est également effectué constamment.

#antivirus #logiciel_malveillant #technologies_Dr.Web

Le projet Lumières sur la sécurité recommande

Les mises à jour des bases de données virales et le fonctionnement du système de protection antivirus se basent sur un mécanisme efficace qui veille sur la sécurité 24/7. Les auteurs de virus n'ont pas de vacances, c'est pourquoi les analystes de Doctor Web n'ont pas de pauses et veillent les menaces de manière permanente.

Nous pensons qu'une conclusion simple ressort de cette publication - placez votre confiance en Dr.Web ! Nous avons des experts de haut niveau !

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs