«Лаборатория Касперского» научилась распознавать модифицированное вредоносное ПО, зашифрованное с помощью неизвестных ранее упаковщиков и шифров

18 Ноября 2013

Известный производитель антивирусного программного обеспечения – «Лаборатория Касперского» получила патент на свое новое изобретение – новейшую технологию, позволяющую обнаружить вредоносные программы, зашифрованные или упакованные неизвестными ранее упаковщиками. Данная технология распознавания «скрытых» угроз уже интегрирована в основные антивирусные продукты для домашних и корпоративных компьютеров.

Шифровальные программы и упаковщики действуют следующим образом: они генерируют файл-контейнер, внутри которого находится ядро вредоносной программы и необходимый код для ее расшифровки или распаковки. Злоумышленники применяют инструменты шифрования и упаковывания файлов для модификации вредоносного ПО для того, чтобы антивирусные программы не смогли их распознать. Модифицированные «зловреды» имеют измененный бинарный вид, что позволяет им обойти сигнатурную проверку.

Многие вредоносные программы, измененные с помощью известных упаковщиков, можно обнаружить методом эвристической проверки. Однако, если злоумышленники пользуются своими собственными упаковщиками с уникальным алгоритмом, то распознать сжатую версию вирусной программы становится гораздо труднее.

Эксперты «Лаборатории Касперского» разработали и запатентовали специальную технологию, позволяющую провести тщательный анализ поведения упаковочной или шифровальной программы с целью выявления скрытых модифицированных угроз. Для каждого неидентифицированного упаковщика создается отдельный профиль, собирающий данные о происходящих процессах после распаковки архива. Антивирусная программа выделяет и анализирует подозрительный файл, который мог быть модифицированным с помощью неизвестного ранее упаковщика. Затем вступает в действие новая технология, которая запускает на проверку файл в эмуляторе и отслеживает все действия, которые выполняет код упаковщика, отвечающий за расшифровку и запуск вредоносного ПО. После протоколирования эти данные проходят автоматическую сортировку и анализ для определения шаблонных поведенческих ситуаций, присущих упаковщику. В результате анализа формируется профиль, который впоследствии позволит успешно обнаруживать другие файлы, модифицированные этим упаковщиком.

Напомним, что ранее поведение упаковщиков редко подвергалось анализу, а благодаря новой технологии Kaspersky Lab появилась возможность более полной проверки подозрительных архивов и зашифрованных посланий.

Технология защищена патентом №8555392, выданным Бюро по регистрации патентов и торговых марок США. Запатентованная технология уже успешно внедрена во флагманские программы «Лаборатории Касперского», такие как Kaspersky Internet Security для всех устройств и Kaspersky Security для бизнеса

Приобрести новое надежное антивирусное ПО от «Лаборатории Касперского» можно в аутсорсинговой компании СоциалИТ. Наши специалисты, действующие в режиме it-аутсорсинга, произведут грамотный подбор и настройку антивирусных программ в соответствии с Вашими нуждами и требованиями. Звоните сейчас!

Написать комментарий

Имя (*):


Эл. почта (*):


Сообщение (*):


Введите код с картинки (*):




Поля отмеченные (*) обязательны к заполнению.
Мы не публикуем эл. адреса на сайте.