«Лаборатория Касперского» запатентовала технологию обнаружения упакованных и зашифрованных вредоносных программ

«Лаборатория Касперского» получила патент на систему, распознающую вредоносное программное обеспечение (ПО), которое было модифицировано посредством ранее неизвестных шифровщиков или упаковщиков. Данная технология уже работает в ключевых антивирусных разработках компании, как для домашних, так и для и корпоративных пользователей.

Как правило упаковщики и шифровщики создают файл-контейнер, куда помещается исходная версия какого-либо вредоносного программного обеспечения и код, который необходим для распаковки или расшифровки той или иной программы. В свою очередь эти инструменты могут быть использованы злоумышленниками для модификации вредоносного ПО для осложнения его поиска программными продуктами для защиты ПК. Такая модификация позволяет модифицировать бинарный вид программы (приложения), что способствует обойти сигнатурную проверку. Таким образом опасность зашифрованного, и вредоносного ПО в сжатом виде заключается в том, что даже если антивирусная база и содержит сигнатуру исходного образца потенциально опасного объекта, то с её помощью нельзя обнаружить сжатую версию такой программы.

Однако вредоносное ПО, которое было модифицировано популярными программами упаковщиками (архиваторами), может без труда быть обнаружено с помощью эвристических правил, но гораздо сложнее будет выявить угрозу, если злоумышленник создал свой уникальный упаковщик, использующий собственный уникальный алгоритм сжатия.

Технология, которая была запатентована «Лабораторией Касперского» представляет собой такой способ анализа, при котором каждому новому упаковщику присваивается свой специальный профиль, описывающий его общее поведение во время запуска (распаковки объекта), что позволяет выявлять модифицированное ПО, в случае его обнаружения, исходя из тех операций и процессов, которые оно выполняет.

В двух словах новая технология работает так: если антивирусная программа определяет, исходя из собственного набора правил, что тот или иной файл вызывает подозрение и есть вероятность, что он был модифицирован с помощью неизвестного ранее упаковщика, то антивирусное ПО обращается к запатентованной «Лабораторией Касперского» технологии, которая в свою очередь эмитирует запуск подозрительного объекта в эмуляторе с целью выявления кода, отвечающего за расшифровку и запуск опасного объекта. На основе полученных данных создаётся специальный профиль, который позволяет в будущем оперативно реагировать на файлы модифицированные этим упаковщиком.

На сегодняшний день новая технология уже внедрена и успешно применяется в таких продуктах «Лаборатории Касперского», как Kaspersky Internet Security и Kaspersky Security для бизнеса.