Nowa technologia do wykrywania wirusów

12 września, 2013

Kaspersky Lab informuje o uzyskaniu patentu na autorską technologię umożliwiającą wydajne i dokładne porównywanie elementów oprogramowania. Patent nr 8499167, przyznany przez urząd ds. patentów i znaków handlowych w Stanach Zjednoczonych, opisuje metodę porównywania plików, która w efektywny sposób określa stopień podobieństwa między nimi i skutecznie wykrywa szkodliwe obiekty, które zostały zmodyfikowane w celu obejścia ochrony zainstalowanej na komputerze.

Eksperci z Kaspersky Lab każdego dnia wykrywają około 200 000 nowych próbek szkodliwego oprogramowania; rok temu liczba ta wynosiła 125 000. Ze względu na szybki wzrost ilości niebezpiecznych aplikacji producenci rozwiązań antywirusowych przywiązują większą wagę do możliwości szybkiego i dokładnego wykrywania nowych zagrożeń.

Jednym ze sposobów sprawdzania obecności szkodliwego oprogramowania jest porównanie nieznanego pliku z istniejącą kolekcją szkodliwych obiektów. Jeżeli z porównania wynika, że nowy obiekt jest bardzo podobny do jednego lub kilku plików w kolekcji, w większości przypadków okazuje się on szkodliwy. Porównanie nowego pliku z kolekcją znanych próbek pomaga skutecznie zwalczać ogromną ilość szkodliwego oprogramowania, jakie pojawia się każdego dnia. Jednak sam mechanizm porównywania nie jest idealny. 

Dwa pliki można porównać, wykorzystując znajomość ich struktury – metoda ta jest powszechnie wykorzystywana w branży antywirusowej. Niestety, cyberprzestępcy często zaśmiecają swoje pliki przypadkowymi danymi, co zmienia ich strukturę i sprawia, że nie wykazują żadnych podobieństw z próbkami szkodliwego oprogramowania w istniejących kolekcjach. 

Jednocześnie często wykorzystuje się emulację w celu sprawdzenia, jak funkcjonuje nowy plik po uruchomieniu oraz czy w kolekcji szkodliwego oprogramowania znajdują się podobne wzorce. Metoda ta polega na uruchomieniu pliku w wirtualnym środowisku, w którym gromadzone są informacje o ich zachowaniu. Dane te są później porównywane z dostępnymi informacjami dotyczącymi zachowania szkodliwego oprogramowania. Jeżeli zostaną zidentyfikowane podobieństwa, plik zostanie uznany za szkodliwy. Jednak emulacja to stosunkowo długi proces, który pochłania dużo zasobów. Co więcej, niektóre szkodliwe programy potrafią rozpoznać, że są uruchamiane w środowisku wirtualnym, i natychmiast przerwać swoje działanie. 

Eksperci z Kaspersky Lab uwzględnili wszystkie te fakty podczas rozwoju nowej technologii porównywania plików.

Teoria ciągów znaków

Nowo opatentowana technologia opiera się na koncepcji możliwości określenia funkcjonalności pliku na podstawie analizy zawartych w nim ciągów znaków jeszcze przed wykonaniem pliku. Ciągi znaków w pliku dostarczają informacji dotyczących tego, w jaki sposób plik zostanie wykonany w systemie operacyjnym (nazwy plików, klucze rejestru, odsyłacze). Na podstawie tych danych można stworzyć swego rodzaju „konspekt” pliku. W przeszłości praktyczna implementacja tej koncepcji wiązała się z jednym problemem: które ciągi znaków w pliku powinny być analizowane? Jak zidentyfikować te, które wskazują na to, że dany plik posiada szkodliwą funkcjonalność? W jaki sposób dokonać przeszukiwania, aby uzyskać wyniki w rozsądnym czasie przy minimalnym zużyciu zasobów? 

Technologia opatentowana przez firmę Kaspersky Lab opisuje algorytm porównywania plików ciąg po ciągu w celu określenia podobieństwa między ich funkcjonalnościami. Gdy laboratorium antywirusowe otrzymuje nieznany plik, specjalny program analizuje zawarte w nim ciągi znaków, następnie odfiltrowuje na podstawie zestawu reguł te, które nie są istotne, i porównuje pozostałe ciągi z kolekcją szkodliwych plików analizowanych w podobny sposób.

„Tym, co wyróżnia naszą technologię, jest fakt, że potrafi szybko porównać 'konspekt’ pliku z ogromną bazą szkodliwego oprogramowania i 'wie’, gdzie szukać w pliku kluczowych elementów, których analiza może zapewnić wgląd w funkcjonalność potencjalnego zagrożenia” – powiedział Aleksiej Malanow, ekspert ds. szkodliwego oprogramowania, Kaspersky Lab oraz twórca nowo opatentowanej technologii.

Chociaż technologia ta została opatentowana dopiero niedawno, eksperci z Kaspersky Lab stosują ją do wykrywania próbek szkodliwego oprogramowania w bieżących wersjach swoich produktów. 

źródło: Kaspersky Lab

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]