Kaspersky Lab a patentat tehnologia pentru detectarea fisierelor malware arhivate


Kaspersky Lab a patentat in Statele Unite ale Americii un sistem care ajuta la detectarea fisierelor malware modificate cu ajutorul programelor de arhivare sau de criptare neidentificate pana in prezent de catre cercetatori. Tehnologia este deja integrata in solutiile de securitate ale companiei, atat pentru utilizatori individuali, cat si pentru companii.Programele de arhivare si programele de criptare (care pot fi considerate a fi tot un tip de utilitare de arhivare) creeaza un fisier care include o versiune a programului initial si codul necesar pentru a-l dezarhiva sau decripta.

 

 

Infractorii cibernetici folosesc aceste instrumente pentru a modifica fisierele malware, cu scopul de a face mai dificila detectarea acestora de catre solutiile de securitate. Aceasta tehnica le permite infractorilor sa modifice fisierele binare ale unui program pentru a se sustrage de la scanarea efectuata de solutiile de securitate. Chiar daca baza de date antivirus a unui program de securitate cuprinde deja semnatura pentru mostra de malware initiala, acesta va fi in imposibilitatea de a detecta versiunea comprimata a programului daunator.

Programele modificate cu ajutorul utilitarelor de arhivare populare pot fi detectate cu ajutorul unor reguli euristice, insa in cazul in care atacatorii si-au construit propriul program de arhivare, cu ajutorul unui algoritm unic, detectarea amenintarii devine o sarcina mult mai dificila. Tehnologia Kaspersky Lab nou-patentata asigura o metoda de analiza a fisierelor in urma careia este creat un profil diferit pentru fiecare utilitar de arhivare nou, oferind o descriere generala a comportamentului acestuia. Ulterior, profilul permite solutiei de securitate sa detecteze malware-ul modificat cu ajutorul unui program de arhivare, bazandu-se pe operatiunile pe care acesta le efectueaza atunci cand este lansat.

Tehnologia functioneaza dupa cum urmeaza: initial, solutia antivirus stabileste – cu ajutorul unui set propriu de reguli – daca fisierul suspect analizat a fost modificat cu ajutorul unui program de arhivare necunoscut; apoi, solutia apeleaza la tehnologia patentata de Kaspersky Lab. La randul sau, aceasta tehnologie simuleaza executarea fisierului scanat si inregistreaza toate operatiunile efectuate de codul responsabil pentru decriptarea si lansarea programului malware. Aceste operatiuni sunt selectate si sunt supuse analizei pentru a crea tipare care descriu comportamentul arhivatorului. In etapa finala, pe baza datelor generate, este creat un profil, care poate fi utilizat ulterior pentru a detecta alte fisiere modificate care folosesc acelasi program de arhivare.

"Daca in trecut analiza programelor de arhivare era, in general, nepractica, aceasta noua tehnologie face posibilă analizarea fisierelor mult mai in detaliu si, drept urmare, imbunatateste calitatea protectiei de care beneficiaza utilizatorii”, a declarat Maxim Golovkin, expert malware in cadrul Kaspersky Lab si autorul tehnologiei nou patentate. „In plus, aceasta tehnologie ofera o metoda de descriere a comportamentului unui program e arhivare proaspat descoperit, astfel incat poate fi utilizata de catre o solutie de securitate, ramanand, in acelasi timp, inteligibila pentru analisti”, a comentat Maxim Golovkin.

Tehnologia proaspat brevetata este deja implementata in produsele reprezentative pentru Kaspersky Lab, precum Kaspersky Internet Security si Kaspersky Endpoint Security for Business. Caracterul inovator al tehnologiei este confirmat de brevetul 8555392, emis de Oficiul pentru Brevete si Marci inregistrate din Statele Unite.

Cei aproximativ o mie de specialisti din departamentul de cercetare si dezvoltare al Kaspersky Lab lucreaza constant pentru a dezvolta tehnologii de ultima ora, multe dintre acestea fiind brevetate. La inceputul lunii octombrie 2013, portofoliul de brevete al companiei includea 174 de brevete emise in SUA, Rusia, UE si China. Un numar suplimentar de 211 de cereri de brevete sunt in proces de analiza.

Despre ionas2
Toate programele prezentate pe acest blog sunt instalate si testate pe sistemul de operare Windows 7 Ultimate(32biti) si Windows 8 Pro (32biti). Programele pentru Android sunt testate pe tableta Allview Speed City cu sistemul de operare Android 4.1 Jelly Bean.

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: