Новая технология Лаборатории Касперского сможет распознавать упакованных и зашифрованных зловредов


KasperskyLabsЛаборатория Касперского разработала, уже получила патент, и даже интегрировала в ключевые защитные решения систему обнаружения вредоносных программ, модифицированных c помощью не встречавшихся ранее упаковщиков или шифровщиков.

Напомним, упаковщики и шифровщики создают файл-контейнер, где размещается версия исходной вредоносной программы и необходимый для ее распаковки или расшифровки код. Злоумышленники используют эти инструменты для модификации вредоносного ПО, чтобы затруднить его поиск защитными решениями. Подобная модификация позволяет изменить бинарный вид программы, что впоследствии помогает обойти сигнатурную проверку. И даже если в антивирусной базе будет содержаться сигнатура исходного образца вредоносного ПО, то с ее помощью не удастся детектировать сжатую версию программы.

Однако, не все так просто, т.к. программы, измененные популярными упаковщиками, могут быть обнаружены с помощью эвристических правил. Поэтому злоумышленники для обхода этого метода защиты создают свой собственный упаковщик с уникальным алгоритмом.

Технология, разработанная Лабораторией Касперского, представляет собой способ анализа, в результате которого для каждого нового упаковщика создается специальный профиль – общее описание его поведения. Использование этого профиля в дальнейшем позволяет обнаружить вредоносную программу, модифицированную с помощью упаковщика, по тем операциям, которые он производит после запуска.

Работает технология следующим образом. Антивирусное решение, согласно своим правилам, попытается определить, не модифицирован ли подозрительный файл с помощью неизвестного ранее упаковщика. Если это так, то после этого решение обращается к новой технологии Лабораторией Касперского. Она в свою очередь запускает проверяемый файл в эмуляторе и протоколирует все действия, выполняемые кодом, отвечающие за расшифровку и запуск вредоносного ПО. Все эти операции сортируются и подвергаются машинному анализу для выявления шаблонов, описывающих поведение упаковщика. В заключение, на основе полученных данных создается профиль, который впоследствии позволит успешно обнаруживать другие файлы, модифицированные этим упаковщиком.

Новая технология уже работает в таких продуктах Лаборатории Касперского, как Kaspersky Internet Security для всех устройств и Kaspersky Security для бизнеса.


Обновлено (08.11.2013 19:59)