Патентное бюро США выдало «Лаборатории Касперского» патент №8,555,392 на систему, которая помогает обнаружить вредоносные программы, модифицированные c помощью не встречавшихся ранее упаковщиков или шифровщиков.
Злоумышленники пользуются различными инструментами для модификации вредоносного ПО с целью затруднения его поиска защитными решениями. Один из способов — применение упаковщиков или шифровщиков: в данном случае создаётся файл-контейнер, в который помещается версия исходной вредоносной программы и необходимый для её распаковки или расшифровки код. Подобная модификация позволяет изменить бинарный вид программы: даже если в антивирусной базе содержится сигнатура исходного образца вредоносного ПО, то с её помощью не удастся детектировать сжатую версию зловреда.
С одной стороны, программы, изменённые популярными упаковщиками, могут быть обнаружены с помощью эвристических правил. Но если злоумышленник создаст свой собственный упаковщик с уникальным алгоритмом, то детектировать угрозу будет значительно сложнее.
Запатентованная технология как раз и призвана решить проблему: она представляет собой способ анализа, в результате которого для каждого нового упаковщика создаётся специальный профиль — общее описание его поведения. Использование этого профиля впоследствии позволяет обнаружить вредоносную программу, модифицированную с помощью упаковщика, по тем операциям, которые он производит после запуска.
На практике система работает следующим образом. Сначала антивирусное решение, руководствуясь собственным набором правил, определяет, что подозрительный файл, попавший к нему на анализ, может быть модифицирован с помощью неизвестного ранее упаковщика. Далее проверяемый файл запускается в эмуляторе для протоколирования всех действий, которые выполняет код, отвечающий за расшифровку и запуск вредоносного ПО. Эти операции сортируются и подвергаются машинному анализу для выявления шаблонов, описывающих поведение упаковщика. На заключительном этапе на основе полученных данных создаётся профиль, который впоследствии позволит успешно обнаруживать другие файлы, модифицированные этим упаковщиком.
Виртуальные VPS серверы в РФ и ЕС
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
