Menu

Технологія розпізнавання упакованих і зашифрованих зловредів

«Лабораторія Касперського» отримала патент на систему, яка допомагає виявити шкідливі програми, модифіковані за допомогою не зустрічалися раніше пакувальників або шифровщиков. Технологія вже інтегрована в ключові захисні рішення компанії для домашніх і корпоративних користувачів.

Технология распознавания упакованных и зашифрованных зловредов

Пакувальники та шифровщики (які можна розглядати як окремий випадок пакувальників) створюють файл-контейнер, в який поміщається версія вихідної шкідливої програми та необхідний для її розпакування або розшифровки код. Зловмисники користуються цими інструментами для модифікації шкідливого ПО, щоб утруднити його пошук захисними рішеннями. Подібна модифікація дозволяє змінити бінарний вид програми, що є одним із способів обходу сигнатурной перевірки. Навіть якщо в антивірусній базі міститься сигнатура вихідного зразка шкідливого ПО, то з її допомогою не вдасться детектувати стислу версію програми.

З іншого боку, програми, змінені популярними пакувальниками, можуть бути виявлені за допомогою евристичних правил. Але якщо зловмисник створить свій власний пакувальник з унікальним алгоритмом, то детектувати загрозу буде значно складніше.

Запатентована технологія «Лабораторії Касперського» представляє собою спосіб аналізу, в результаті якого для кожного нового пакувальника створюється спеціальний профіль - загальний опис його поведінки. Використання цього профілю згодом дозволяє виявити шкідливу програму, модифікована з допомогою пакувальника, за тими операціями, які він проводить після запуску.

На практиці технологія працює наступним чином: спочатку антивірусне рішення, керуючись власним набором правил, визначає, що підозрілий файл, який потрапив до нього на аналіз, може бути модифікований з допомогою невідомого раніше пакувальника, і після цього звертається до запатентованої «Лабораторією Касперського» технології. Вона в свою чергу запускає перевіряється файл в емуляторі і протоколює всі дії, які виконує код, що відповідає за розшифровку і запуск шкідливого ПО. Ці операції сортуються і піддаються машинному аналізу для виявлення шаблонів, які описують поведінку пакувальника. На заключному етапі на основі отриманих даних створюється профіль, який згодом дозволить успішно виявляти інші файли, модифіковані цим пакувальником.

Патент №8555392, що підтверджує новизну технології, розробленої «Лабораторією Касперського», виданий Бюро з реєстрації патентів і торгових марок США.

Продукт нашого каталогу
|