AVZ : L’heuristique sans faux positifs pour combattre les futures menaces

Comment trouver et détruire tous les programmes malveillants qui se cachent dans la jungle qu’est votre ordinateur ?

Et plus particulièrement, les programmes super malveillants jamais vus auparavant, qui s’avèrent être également super efficaces (et qui sont souvent sponsorisés par des États ?)

Facile. La réponse est très simple : vous ne pouvez pas.

Enfin, vous pouvez toujours essayer : mais pour trouver un chat noir dans l’obscurité, vous avez besoin de super outils pour réaliser cette tâche manuellement – et ça coûte cher. Mais pour le faire automatiquement avec un logiciel antivirus – c’est une toute autre histoire : vous arrivez normalement à détecter les infections sophistiquées mais ça s’arrête là. C’est du moins le cas des anciens antivirus qui utilisent les classiques signatures antivirus et les analyses de fichiers.

Mais quelle est donc la solution ?

De nouveau, c’est très simple : mettez des génies au travail – pour automatiser la recherche des infections et les fonctions de destruction des produits antivirus.

Comment nous y parvenons ?

En faisant travailler ces super cerveaux sur le développement intellectuel systématique de la protection en analysant des douzaines de capteurs KL placés partout dans les ordinateurs protégés. Une telle analyse omnisciente et systématique est bien plus efficace que de simplement deviner les choses. Une approche pratique afin d’assurer une protection proactive est toujours mieux que de jouer aux devinettes non ? C’est évident.

Alors, ces capteurs… L’une des caractéristiques que l’on trouve pratiquement  dans tous les produits de KL est l’analyse heuristique.

Dans le monde de la virologie informatique, l’heuristique existe déjà depuis environ 25 ans. Certaines sociétés spécialisées en antivirus ont laissé tombé cette technologie car elle requiert un développement constant, alors que d’autres ont choisi de minimiser son utilisation ou tout simplement de la suspendre pour le moment. Mais au cas où vous n’auriez pas connaissance de l’importance de l’heuristique, voici brièvement de quoi il s’agit…

Un code malveillant peut être identifié de deux manières : directement et indirectement :

Directement : il s’agit des signatures classiques : nous savons  à quoi ressemble un code malware, nous développons donc une signature pour ce dernier et nous la recherchons au moment de scanner un objet suspect.

Indirectement : c’est le cas de l’heuristique. Nous pouvons révéler des programmes malveillants grâce à nos connaissances antérieures sur les séquences de commandes typiques dans les codes ou dans les métadonnées (analyse statique), ou même suivant le comportement (analyse dynamique).

Exemple de la manière indirecte : un programme s’écrit lui-même dans la clé autorun du registre du système, il intercepte les frappes de touches, ouvre un port et transmet des données via Internet. Le programme écrit des données sur le disque dur, dans le cylindre 0, la tête 0, le secteur 1 – et donc modifie le MBR (master boot record). Avouons-le, ce genre de comportement…passe difficilement pour celui d’un programme bénin.

Maintenant, l’énorme avantage de l’heuristique par rapport aux signatures est que nous n’avons pas besoin de savoir à quoi ressemble le malware : nous n’avons pas besoin de savoir son code unique. Au lieu de ça, nous analysons tout le spectre des menaces (y compris celles qui sont inconnues) en examinant certaines actions ou comportements malveillants.

Néanmoins, il s’avère que le nombre d’actions et de comportements possibles est bien moindre que le nombre de combinaisons de code malveillant. Par exemple, avec un seul enregistrement heuristique, nous pouvons détecter près de 600 000 variantes du ver WBNA ! Vous pouvez donc imaginer à quel point l’heuristique permet d’accélérer les analyses antivirus (en évitant de devoir réaliser 600 000 enregistrements !).

L’heuristique est utilisée dans pratiquement tous nos modules de protection (par exemple, dans nos modules de déblocage, d’anti-rootkit et d’anti-phishing). Ils aident nos hautes technologies d’analyse telles que System Watcher et nos services de réputation basés sur le Cloud à mieux comprendre l’environnement interne de l’ordinateur et découvrir la plus rusée des attaques. De plus, nous disposons également de notre module AVZ pour les analyses heuristiques du système automatiques. Je dois d’ailleurs vous donner plus de détails sur ce sujet :

AVZ a été introduit dans sa version complète en 2007. Il joue de nombreux rôles (déchiqueteuse, sauvegarde, nettoyage de corbeille, intégrité des fichiers, assistant de restauration du système) suivant le produit dans lequel il se trouve. Mais du point de vue de l’heuristique et de la protection contre les menaces inconnues, il réalise deux choses – (i) il permet un support technique (humain) pour réaliser des diagnostiques à distance et réparer les infections les plus tenaces; et (ii) il fournit une série d’outils qui permet aux utilisateurs expérimentés et aux administrateurs systèmes d’identifier les anomalies malveillantes sur les ordinateurs et les réseaux qu’ils gèrent.

La caractéristique la plus importante d’AVZ est son outil d’analyse heuristique (mis à jour quotidiennement) qui réalise un travail exceptionnel pour suivre tout ce qui se passe dans l’ordinateur. Et c’est déjà la moitié du travail de réalisé ! AVZ interprète les différents paramètres et permet de détecter les programmes malveillants, d’analyser le système et d’utiliser les résultats pour créer une zone de mise en quarantaine avec des objets suspects et un rapport détaillé sur tous les fichiers.

Le meilleur de ce rapport est qu’il peut être aussi bien lu par des experts (humains) que par des robots ! Après l’avoir analysé, notre support technique peut émettre un diagnostique correcte et prescrire un traitement. Le robot lui, après avoir automatiquement analysé le malware peut créer un remède qu’il lancera grâce à un interprète de script intégré.

Oui, nos produits disposent d’un interprète de script intégré spécial que nous avons créés de A à Z et conçus spécialement pour ces tâches d’analyse antivirus. Il contient tous les instruments nécessaires à une chirurgie antivirus (suppression des fichiers, mise en quarantaine d’objets, nettoyage du registre, arrêts de processus, etc.) en combinaison avec d’autres technologies très utiles (suppression différée, lutte contre les infections actives pendant traitement, etc.).

Une autre fonctionnalité du rapport est qu’il contient uniquement les informations critiques essentielles sur le système qui permettront de définir le virus. Les objets qui sont complètement sains sont automatiquement placés dans une liste blanche afin de ne pas entraver le travail du spécialiste et d’accélérer l’analyse.

C’est ensuite une histoire de technique : le remède est administré sous forme de script à l’ordinateur infecté et prend des mesures de restauration. L’utilisateur a juste besoin de copier le texte dans la fenêtre du script. Par le passé nous avons constaté qu’il s’agit d’une caractéristique irremplaçable aussi bien pendant l’installation de la protection sur un système déjà infecté (y compris des menaces inconnues), ou au moment d’étudier les répercutions d’une infection.

Tous les outils d’analyse heuristique ont des limites pour ce qui est des faux positifs. C’est logique, car les analyses heuristiques fonctionnent grâce à des hypothèses concernant la malveillance d’un objet et ce à partir de ses expériences antérieures (et non pas à partir de faits). Des tests complets et un système de liste blanche peuvent aider à compenser ces limites, mais des erreurs peuvent toujours se produire. Hélas, la technologie qui pourrait régler le problème une bonne fois pour toutes n’a pas encore été inventée… mais nous y travaillons :). Pendant ce temps, le plus important est de réparer les erreurs et sortir des mises à jour de correction au plus vite. Néanmoins, avec AVZ…aucun problème de ce genre !

Premièrement, AVZ fonctionne tout seul et ne dérange pas l’utilisateur avec des questions et des alertes techniques. Les résultats du module sont seulement vus par l’expert du support technique qui les reçoit. Ou par le robot :). Deuxièmement, aussi bien l’expert que le robot sont capables d’éliminer les faux positifs par eux-mêmes ! Oui, vous avez bien lu – vraiment ! Après chaque analyse de nouvelles données, ils peuvent manuellement ou automatiquement (respectivement) déterminer les faux positifs et les enregistrements inefficaces et effectuer des changements en conséquence !

Qui a dit que la technologie n’avait pas encore été inventée ?

LIRE LES COMMENTAIRES 0
Laisser un commentaire