Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

«Лаборатория Касперского» запатентовала технологию распознавания упакованных и зашифрованных зловредов

«Лаборатория Касперского» получила патент на технологию, которая поможет обнаружить вредоносный код, модифицированный при помощи неизвестных шифровщиков или упаковщиков.

Шифровщики и упаковщики используются для создания специального файла-контейнера, внутри которого находится вредоносный файл и код, необходимый для расшифровки. Это сильно осложняет поиск вирусов антивирусным программным обеспечением.

скачать антивирус касперскогоСпециалисты отметили, что даже если сигнатура угрозы занесена в антивирусные базы, антивирус не способен обнаружить ее в таком контейнере. С другой стороны, приложения, измененные известными упаковщиками, можно обнаружить при помощи эвристических правил. Однако при использовании нового, неизвестного ранее алгоритма упаковки, обнаружить угрозу очень сложно.

Запатентованная технология представляет собой метод анализа с созданием для каждого упаковщика своеобразного профиля, который хранит общее описание его работы. Использование созданного профиля позволяет программному обеспечению детектировать вирус, упакованный в контейнер, по операциям, которые он осуществляет после активации.

В общих чертах технология работает следующим образом. Антивирусная программа, на основе собственных правил, определяет, что анализируемый файл может быть изменен неизвестным ранее упаковщиком и инициирует запуск запатентованной технологии. Файл запускается в специальном эмуляторе, при этом программа протоколирует все действия, производимые файлом в процессе расшифровки и активации вредоносного кода. Эти операции сортируются и анализируются для поиска шаблонов, что позволяет описать алгоритм работы упаковщика. На основе полученных данных и создается профиль, который в дальнейшем можно использовать для поиска других вирусов, упакованных в аналогичный контейнер.

В компании отметили, что ранее принцип работы программы-упаковщика не поддавался анализу. Новый инструмент позволяет произвести более глубокую проверку, что значительно повышает уровень защиты.


Google