RU2012156448A

RU2012156448A - SYSTEM AND METHOD FOR AUTOMATIC MODIFICATION OF ANTI-VIRUS DATABASE

Info

Publication number: RU2012156448A
Application number: RU2012156448/08A
Authority: RU
Inventors: Олег Валерьевич Невструев; Виктор Владимирович Яблоков
Original assignee: Закрытое акционерное общество "Лаборатория Касперского"
Priority date: 2012-12-25
Filing date: 2012-12-25
Publication date: 2014-07-10
Also published as: RU2536664C2

Abstract

1. Способ обновления информации в антивирусной базе данных путем формирования антивирусного списка в антивирусной базе данных, и при этом антивирусный список соответствует новому типу файла, содержит этапы в которых:а) хранят список типов файлов, содержащий отличительные признаки для определения типов файлов, и антивирусные списки, разделенные по типу файлов и содержащие антивирусные записи для соответствующих типов файлов;б) определяют тип полученного файла с целью последующего выбора антивирусного списка для антивирусной проверки файла;в) проводят антивирусную проверку полученного файла на содержание вредоносного кода с помощью антивирусного списка, соответствующего определенному типу файла и формируют результаты проверки;г) проводят анализ результатов проверки с целью выявления файлов, у которых тип файла был определен как неизвестный тип файла;д) выявляют тип, по крайней мере, одного файла, у которого тип файла был определен как неизвестный тип файла;е) обновляют антивирусную базу данных путем добавления отличительных признаков выявленного типа, по крайней мере, одного файла в список типов файлов и создания антивирусного списка, соответствующего выявленному типу файла, при этом указанные списки не содержат антивирусные записи.2. Способ по п.1, в котором антивирусные записи являются шаблонами вредоносного кода.3. Способ по п.1, в котором антивирусные записи являются метаданными файлов.4. Способ по п.1, в котором проводят антивирусную проверку файлов, у которых тип файла был определен как неизвестный тип файла, с помощью антивирусного списка для неизвестных типов файлов.5. Способ по п.1, в котором выявле�1. A method for updating information in an anti-virus database by generating an anti-virus list in an anti-virus database, and the anti-virus list corresponds to a new file type, it comprises the steps in which: a) a list of file types is stored, which contains the distinguishing features for determining file types, and anti-virus lists separated by file type and containing anti-virus entries for the corresponding file types; b) determine the type of file received for the subsequent selection of the anti-virus list for anti-virus scanning c) conduct an anti-virus scan of the received file for the content of malicious code using the anti-virus list corresponding to a specific file type and generate scan results; d) analyze the scan results to identify files for which the file type was defined as an unknown file type; e ) identify the type of at least one file for which the file type has been identified as an unknown file type; e) update the anti-virus database by adding the distinguishing features of the detected type, at least , one file to the list of file types and creating an anti-virus list corresponding to the detected file type, while the lists do not contain anti-virus entries. 2. The method of claim 1, wherein the anti-virus entries are malicious code templates. The method of claim 1, wherein the anti-virus entries are file metadata. The method according to claim 1, in which anti-virus scanning of files in which the file type has been defined as an unknown file type is carried out using an anti-virus list for unknown file types. The method according to claim 1, in which

Claims

1. Способ обновления информации в антивирусной базе данных путем формирования антивирусного списка в антивирусной базе данных, и при этом антивирусный список соответствует новому типу файла, содержит этапы в которых:1. A method for updating information in an anti-virus database by generating an anti-virus list in an anti-virus database, and the anti-virus list corresponds to a new file type, comprising the steps in which:

а) хранят список типов файлов, содержащий отличительные признаки для определения типов файлов, и антивирусные списки, разделенные по типу файлов и содержащие антивирусные записи для соответствующих типов файлов;a) store a list of file types containing the distinguishing features for determining file types, and anti-virus lists, separated by file type and containing anti-virus entries for the respective file types;

б) определяют тип полученного файла с целью последующего выбора антивирусного списка для антивирусной проверки файла;b) determine the type of file received for the purpose of subsequent selection of the antivirus list for antivirus scan of the file;

в) проводят антивирусную проверку полученного файла на содержание вредоносного кода с помощью антивирусного списка, соответствующего определенному типу файла и формируют результаты проверки;c) conduct an anti-virus scan of the received file for the content of malicious code using the anti-virus list corresponding to a specific type of file and generate the scan results;

г) проводят анализ результатов проверки с целью выявления файлов, у которых тип файла был определен как неизвестный тип файла;d) analyze the results of the scan in order to identify files in which the file type has been identified as an unknown file type;

д) выявляют тип, по крайней мере, одного файла, у которого тип файла был определен как неизвестный тип файла;e) identify the type of at least one file whose file type has been defined as an unknown file type;

е) обновляют антивирусную базу данных путем добавления отличительных признаков выявленного типа, по крайней мере, одного файла в список типов файлов и создания антивирусного списка, соответствующего выявленному типу файла, при этом указанные списки не содержат антивирусные записи.f) update the anti-virus database by adding the distinguishing features of the detected type of at least one file to the list of file types and creating an anti-virus list corresponding to the detected file type, while these lists do not contain anti-virus entries.

2. Способ по п.1, в котором антивирусные записи являются шаблонами вредоносного кода.2. The method according to claim 1, wherein the anti-virus entries are malicious code templates.

3. Способ по п.1, в котором антивирусные записи являются метаданными файлов.3. The method of claim 1, wherein the anti-virus entries are file metadata.

4. Способ по п.1, в котором проводят антивирусную проверку файлов, у которых тип файла был определен как неизвестный тип файла, с помощью антивирусного списка для неизвестных типов файлов.4. The method according to claim 1, in which anti-virus scanning of files in which the file type has been defined as an unknown file type is carried out using an anti-virus list for unknown file types.

5. Способ по п.1, в котором выявление типа файлов происходит на основе анализа структуры файлов.5. The method according to claim 1, in which the detection of the file type is based on the analysis of the file structure.

6. Способ по п.1, в котором выявление типа файлов происходит на основе запроса к антивирусному серверу.6. The method according to claim 1, in which the detection of the file type is based on a request to an anti-virus server.

7. Способ по п.1, в котором выявление типа файлов происходит на основе анализа содержимого файлов.7. The method according to claim 1, in which the detection of the file type is based on the analysis of the contents of the files.

8. Способ по п.7, в котором анализом содержимого файлов является побайтовое сравнение содержимого файлов и последующее выделение, по крайней мере, одного идентичного участка содержимого файлов.8. The method according to claim 7, in which the analysis of the contents of the files is a byte comparison of the contents of the files and the subsequent selection of at least one identical portion of the contents of the files.

9. Способ по п.8, где в качестве идентичного участка содержимого файлов является последователь байт, равная 2 байтам и более и при этом содержащаяся во всех анализируемых файлах по одному и тому же смещению.9. The method of claim 8, where as an identical section of the contents of the files is a sequence of bytes equal to 2 bytes or more and at the same time contained in all analyzed files at the same offset.

10. Система обновления информации в антивирусной базе данных путем формирования антивирусного списка в антивирусной базе данных, и при этом антивирусный список соответствует новому типу файла, которая содержит:10. The system for updating information in the anti-virus database by creating an anti-virus list in the anti-virus database, and the anti-virus list corresponds to a new type of file that contains:

а) антивирусную базу данных, предназначенную для:a) anti-virus database intended for:

- хранения списка типов файлов, содержащего сведения о типах файлов, и антивирусных списков для каждого типа файлов, которые содержат антивирусные записи, и- storing a list of file types containing information about file types and anti-virus lists for each type of file that contains anti-virus entries, and

- предоставления указанного списка типов файлов устройству предварительного анализа, и указанных антивирусных списков устройству обнаружения;- providing the specified list of file types to the preliminary analysis device, and the indicated anti-virus lists to the detection device;

б) устройство предварительного анализа, предназначенное для определения типа проверяемого файла с помощью списка типов файлов и передачи информации о типе файла устройству обнаружения;b) a preliminary analysis device designed to determine the type of file being scanned using a list of file types and transmitting file type information to the detection device;

в) устройство обнаружения, предназначенное для обнаружения вредоносного кода в проверяемом файле с помощью антивирусного списка, который соответствует определенному типу файла, и передачи результатов проверки устройству анализа результатов проверки;c) a detection device designed to detect malicious code in the file being scanned using an anti-virus list that corresponds to a specific type of file and transmit the results of the scan to the device for analyzing the results of the scan;

г) устройство анализа результатов проверки, предназначенное для анализа результатов антивирусной проверки файлов, формирования на основании анализа решения о необходимости корректировки базы данных и передачи соответствующей информации устройству модификации базы данных;d) a device for analyzing scan results, designed to analyze the results of anti-virus scanning of files, forming, on the basis of analysis, a decision on the need to adjust the database and transmit the corresponding information to the database modification device;

д) устройство модификации базы данных, предназначенное для обновления базы данных путем создания нового антивирусного списков, который не содержит антивирусные записи, и добавления сведений о новом типе файла в список типов файлов в соответствии с полученной от устройства анализа результатов проверки информацией.e) a database modification device designed to update the database by creating a new anti-virus list that does not contain anti-virus entries and adding information about the new file type to the list of file types in accordance with the information received from the analysis analysis device.

11. Система по п.10, которая содержит устройство обновления базы данных, предназначенное для обновления записей в антивирусных списках, хранящихся в антивирусной базе данных.11. The system of claim 10, which contains a database update device for updating entries in anti-virus lists stored in the anti-virus database.

12. Система по п.10, в которой антивирусные записи являются шаблонами вредоносного кода.12. The system of claim 10, wherein the anti-virus entries are patterns of malicious code.

13. Система по п.10, в которой антивирусные записи являются метаданными файлов.13. The system of claim 10, wherein the anti-virus entries are file metadata.

14. Система по п.10, где устройство анализа результатов проверки, проводя анализ результатов антивирусной проверки файлов, выделяет файлы, у которых тип файла был определен как неизвестный тип файла, для последующего определения указанных неизвестных типов файлов.14. The system of claim 10, where the device analyzing the results of the scan, analyzing the results of the anti-virus scan of files, selects files for which the file type has been defined as an unknown file type, for subsequent determination of the specified unknown file types.

15. Система по п.14, в которой неизвестные типы файлов определяются с помощью анализа структуры файлов.15. The system of claim 14, wherein the unknown file types are determined by analyzing the file structure.

16. Система по п.14, в которой неизвестные типы файлов определяются с помощью запроса к антивирусному серверу.16. The system of claim 14, wherein the unknown file types are determined using a query to the anti-virus server.

17. Система по п.14, в которой неизвестные типы файлов определяются с помощью анализа содержимого файлов.17. The system of claim 14, wherein the unknown file types are determined by analyzing the contents of the files.

18. Система по п.17, в которой анализом содержимого файлов является побайтовое сравнение содержимого файлов и последующее выделение, по крайней мере, одного идентичного участка содержимого файлов.18. The system according to 17, in which the analysis of the contents of the files is a byte comparison of the contents of the files and the subsequent selection of at least one identical portion of the contents of the files.

19. Система по п.18, где в качестве идентичного участка содержимого файлов является последователь байт, равная 2 байтам и более и при этом содержащаяся во всех анализируемых файлах по одному и тому же смещению.19. The system according to p. 18, where as an identical section of the contents of the files is a sequence of bytes equal to 2 bytes or more and at the same time contained in all analyzed files at the same offset.

20. Система по п.10, в которой устройство обнаружения проводит обнаружение вредоносного кода в файлах, у которых тип файла был определен как неизвестный тип файла, с помощью антивирусного списка для неизвестных типов файлов. 20. The system of claim 10, wherein the detection device detects malicious code in files whose file type has been determined to be an unknown file type, using an anti-virus list for unknown file types.