RU2510530C1 - Method for automatic generation of heuristic algorithms for searching for malicious objects - Google Patents
Method for automatic generation of heuristic algorithms for searching for malicious objects Download PDFInfo
- Publication number
- RU2510530C1 RU2510530C1 RU2012141479/08A RU2012141479A RU2510530C1 RU 2510530 C1 RU2510530 C1 RU 2510530C1 RU 2012141479/08 A RU2012141479/08 A RU 2012141479/08A RU 2012141479 A RU2012141479 A RU 2012141479A RU 2510530 C1 RU2510530 C1 RU 2510530C1
- Authority
- RU
- Russia
- Prior art keywords
- heuristic
- malicious applications
- computer
- log
- analysis
- Prior art date
Links
Images
Abstract
Description
Область техникиTechnical field
Настоящее изобретение относится к антивирусным системам, а более конкретно к способам создания и оптимизации эвристических сценариев обнаружения вредоносных приложений.The present invention relates to anti-virus systems, and more particularly to methods for creating and optimizing heuristic scripts for detecting malicious applications.
Уровень техникиState of the art
В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а также увеличивается и вред, который данное ПО наносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении уже известных угроз. Однако новые угрозы появляются все чаще, и становятся необходимыми методы распознавания неизвестных угроз. С ростом коммуникационных сетей, таких как Интернет, увеличивается потребность в обмене данными, включая все более растущее использование почтовых сообщений, что, в свою очередь, приводит к увеличению частоты заражений компьютеров.Currently, the spread of malicious software (hereinafter referred to as software) is increasing, as well as the damage that this software is causing to computer systems. Existing systems for protecting personal computers, as well as computers in the corporate network, are based on the detection of already known threats. However, new threats appear more and more often, and methods for recognizing unknown threats become necessary. With the growth of communication networks such as the Internet, the need for data exchange is increasing, including the increasing use of mail messages, which, in turn, leads to an increase in the frequency of computer infections.
Под угрозами далее будут подразумеваться как различные вредоносные приложения, такие как троянские программы, сетевые черви, вирусы и другое нежелательное ПО, а также ссылки, которые ведут на веб-страницы с вредоносными программами и другим нежелательным ПО, уязвимости в лицензионном ПО и т.д. В список нежелательного ПО можно также включить приложения, предназначенные для совершения финансовых преступлений (Crimeware), отслеживания действий пользователя (Spyware), блокирующих данные или работоспособность компьютера (Ransomware). В настоящее время рост количества вредоносных приложений имеет ярко выраженный экспоненциальный вид, что определяется рядом причин, которые появились в последние годы, а именно рост количества персональных компьютеров, присоединенных к сети Интернет, в которой также происходит бурное развитие различных услуг и сервисов, что привлекает различных мошенников. В то же время возможности антивирусных компаний - как аппаратные ресурсы для обработки новых угроз, так и человеческие (эксперты по анализу угроз), достаточно ограничены и наращивать их теми же темпами, которыми растет количество угроз, невозможно. Одна из причин роста количества новых уникальных вредоносных файлов заключается в массовом развитии коммуникаций, в том числе сети Интернет, и, соответственно, быстром росте количества пользователей. Это, в свою очередь, обуславливает рост различных сервисов, которые предлагаются онлайн (в сети Интернет): интернет-банкинг, виртуальные деньги (такие как WebMoney), ведение журналов и блогов, перенос многих программных структур в веб (уже упоминавшиеся Google Apps могут служить отличным примером). Соответственно, текущее поколение так называемых компьютерных злоумышленников (т.е. людей, которые занимаются противоправной деятельностью с использованием компьютеров) активно использует свои разработки в виде вредоносных приложений и организованных сетевых атак для кражи и вымогательства финансовых средств. В последние годы их деятельность затронула не только банковскую сферу (т.н. банковские троянские программы), но и была направлена на кражу учетных записей к популярным онлайн-играм, а также на вымогательство с помощью класса приложений Trojan-Ransom (http://support.kaspersky.ru/faq/7qicN208637133). Успеху компьютерных злоумышленников и росту количества вредоносных приложений способствует ряд факторов: недостаточная защищенность многих онлайн-сервисов, несовершенство или полное отсутствие законов в ряде стран, касающихся преступлений с использованием компьютеров, а также безграмотность работающих за компьютерами людей в области компьютерной безопасности.Threats hereinafter will be understood as various malicious applications, such as trojans, network worms, viruses and other unwanted software, as well as links that lead to web pages with malicious programs and other unwanted software, licensed software vulnerabilities, etc. . In the list of unwanted software, you can also include applications designed to commit financial crimes (Crimeware), tracking user actions (Spyware), blocking data or the health of your computer (Ransomware). Currently, the increase in the number of malicious applications has a pronounced exponential form, which is determined by a number of reasons that have appeared in recent years, namely the increase in the number of personal computers connected to the Internet, in which there is also a rapid development of various services and services, which attracts various scammers. At the same time, the capabilities of anti-virus companies, both hardware resources for processing new threats, and human resources (experts in threat analysis) are quite limited and it is impossible to build them up at the same pace as the number of threats grows. One of the reasons for the increase in the number of new unique malicious files is the massive development of communications, including the Internet, and, accordingly, the rapid increase in the number of users. This, in turn, leads to the growth of various services that are offered online (on the Internet): Internet banking, virtual money (such as WebMoney), journaling and blogging, and the transfer of many software structures to the web (the already mentioned Google Apps can serve great example). Accordingly, the current generation of so-called computer attackers (that is, people who engage in illegal activities using computers) are actively using their developments in the form of malicious applications and organized network attacks to steal and extort financial means. In recent years, their activities have affected not only the banking sector (the so-called banking Trojans), but have also been aimed at stealing accounts for popular online games, as well as at extortion using the Trojan-Ransom application class (http: // support.kaspersky.ru/faq/7qicN208637133). A number of factors contribute to the success of computer attackers and the growth in the number of malicious applications: the inadequate security of many online services, the imperfection or complete absence of laws in a number of countries related to computer crimes, and the illiteracy of people working at computers in computer security.
Надо отметить, что существующие методы борьбы с вредоносными приложениями (вирусами, червями, троянскими программами и многими другими), которые, как правило, представлены сигнатурным и эвристическим обнаружением, уже практически исчерпали свой потенциал. Традиционный сигнатурный анализ по-прежнему позволяет быстро и без ошибок определить вредоносное приложение, но только в том случае, если оно известно. Сами сигнатуры постоянно обновляются (на данный момент уже ежечасно), что влечет за собой один очевидный минус - подобная защита заведомо дает некоторое время для распространения вредоносных приложений. С момента начала распространения вредоносного приложения могут пройти часы или даже дни, прежде чем антивирусная компания получит ее образец (как правило, исполняемый файл), проведет анализ, обнаружит вредоносное поведение, занесет в базу данных сигнатур и протестирует базы сигнатур перед выкладыванием их на сервер. Весь этот процесс занимает часы, при этом ситуация постоянно усугубляется тем, что не всегда удается автоматизировать все шаги приведенной схемы обнаружения вредоносного приложения.It should be noted that the existing methods of combating malicious applications (viruses, worms, trojans, and many others), which, as a rule, are represented by signature and heuristic detection, have almost exhausted their potential. Traditional signature analysis still allows you to quickly and without errors identify a malicious application, but only if it is known. The signatures themselves are constantly updated (at the moment already hourly), which entails one obvious minus - such protection certainly gives some time for the spread of malicious applications. It may take hours or even days from the moment the malicious application spreads before the antivirus company receives its sample (usually an executable file), analyzes it, detects malicious behavior, stores it in the signature database, and tests the signature databases before uploading it to the server. This whole process takes hours, while the situation is constantly aggravated by the fact that it is not always possible to automate all the steps of the above malware detection scheme.
Эвристический анализ (http://support.kaspersky.ru/kis2012/tech?qid=208640579) основан на поиске характерных для вредоносных приложений особенностей (фрагментов программного кода, определенных ключей реестра, имен файлов или процессов), однако отладка каждого эвристического сценария проверки занимает длительное время, а, кроме того, всегда остается риск ошибок (ложных срабатываний). Сама же эффективность эвристических методов обнаружения не превышает 60-70% (процент обнаружения неизвестных угроз на момент их появления).Heuristic analysis (http://support.kaspersky.com/kis2012/tech?qid=208640579) is based on the search for features specific to malicious applications (fragments of program code, specific registry keys, file names or processes), but debugging of each heuristic scan script takes a long time, and, in addition, there is always the risk of errors (false positives). The very effectiveness of heuristic detection methods does not exceed 60-70% (the percentage of detection of unknown threats at the time of their appearance).
В случае заражения компьютера вредоносным приложением предусмотрены частные персональные решения устранения вредоносного приложения для каждого компьютера. Такое персональное решение строится на сервере антивирусной компании на основе служебной информации о зараженной системе, передаваемой компьютером пользователя на сервер. Представленное решение является индивидуальным и предназначено для решения конкретной проблемы, возникшей на компьютере пользователя. Такое создание решения на основе заранее известных шаблонов раскрывается в патенте US7346928, где описывается система, состоящая из сервера, который получает запросы от множества клиентов на проверку файлов на вирусы. Существуют также системы, которые сначала создают сценарий исследования зараженного компьютера, и на основании исследования создается сценарий лечения. В патенте US7093239 описывается система анализа компьютера, созданная для обнаружения вредоносного кода. Система создает и последовательно анализирует шаблон поведения для каждого приложения, установленного на компьютере, для выявления приложений с вредоносным поведением. Однако предлагаемые решения могут создавать большую нагрузку на сеть из-за большого количества клиентов и растущего количества нового ПО, которое требуется анализировать.If a computer is infected with a malicious application, private personal solutions for eliminating the malicious application for each computer are provided. Such a personal solution is built on the server of the anti-virus company on the basis of service information about the infected system transmitted by the user's computer to the server. The presented solution is individual and designed to solve a specific problem that arose on the user's computer. Such creation of a solution based on previously known patterns is disclosed in US7346928, which describes a system consisting of a server that receives requests from multiple clients to scan files for viruses. There are also systems that first create a script for examining an infected computer, and based on the research, a treatment script is created. US7093239 describes a computer analysis system designed to detect malicious code. The system creates and sequentially analyzes the behavior pattern for each application installed on the computer to identify applications with malicious behavior. However, the proposed solutions can create a large load on the network due to the large number of clients and the growing number of new software that needs to be analyzed.
Анализ предшествующего уровня техники показал, что разработанные технологии не рассчитаны на высокий темп роста числа нового ПО и, как следствие, неспособны обеспечить высокий уровень обнаружения вредоносных приложений. Новый подход к применению эвристических алгоритмов позволяет повысить уровень обнаружения вредоносных приложений путем создания и оптимизации эвристических сценариев обнаружения вредоносных приложений.An analysis of the prior art showed that the developed technologies are not designed for a high growth rate of the number of new software and, as a result, are unable to provide a high level of detection of malicious applications. A new approach to the use of heuristic algorithms allows to increase the level of detection of malicious applications by creating and optimizing heuristic scenarios for detecting malicious applications.
Раскрытие изобретенияDisclosure of invention
Технический результат настоящего изобретения заключается в повышении уровня обнаружения вредоносных приложений путем создания и оптимизации эвристических сценариев обнаружения вредоносных приложений.The technical result of the present invention is to increase the level of detection of malicious applications by creating and optimizing heuristic scenarios for detecting malicious applications.
Согласно одному из вариантов реализации предлагается способ создания и оптимизации эвристических сценариев обнаружения вредоносных приложений, содержащий этапы, на которых: производят анализ компьютера на наличие вредоносных приложений, при этом сохраняют результаты анализа в журнал проверки; отправляют журнал проверки на анализ; создают эвристический сценарий обнаружения вредоносных приложений на основании анализа журнала проверки и отправляют сформированный эвристический сценарий обнаружения вредоносных приложений на компьютер; выполняют действия по оптимизации работы сценария, во время которых производят обнаружение ложных срабатываний и/или неизвестных вредоносных приложений; вносят изменения в существующий эвристический сценарий обнаружения вредоносных приложений для исправления ложных срабатываний и/или обнаружения неизвестных вредоносных приложений; отправляют изменения для существующего эвристического сценария обнаружения вредоносных приложений.According to one implementation option, a method is proposed for creating and optimizing heuristic scripts for detecting malicious applications, comprising the steps of: analyzing the computer for malicious applications, while saving the analysis results to a scan log; send a check log for analysis; create a heuristic script for detecting malicious applications based on the analysis of the scan log and send the generated heuristic script for detecting malicious applications to the computer; perform actions to optimize the script, during which they detect false positives and / or unknown malicious applications; make changes to the existing heuristic script for detecting malicious applications to fix false positives and / or detect unknown malicious applications; send changes to an existing heuristic malware detection script.
В одном из частных вариантов реализации журнал проверки содержит все результаты анализа компьютера на наличие вредоносных приложений, если анализ производится в первый раз.In one of the private embodiments, the check log contains all the results of the analysis of the computer for malicious applications, if the analysis is performed for the first time.
В еще одном из частных вариантов реализации журнал проверки содержит только информацию о ложных срабатываниях и неизвестном подозрительном ПО, которое было обнаружено с помощью эвристических сценариев обнаружения, если анализ производится во второй или последующие разы.In yet another private embodiment, the verification log contains only information about false positives and unknown suspicious software that was detected using heuristic detection scripts if the analysis is performed for the second or subsequent times.
В другом частном варианте реализации журнал проверки отправляется более чем с одного компьютера из одной локальной сети.In another particular embodiment, the verification log is sent from more than one computer from the same local network.
В одном из частных вариантов реализации журнал проверки отправляется только с одного компьютера из одной локальной сети, если компьютеры в сети одной и той же конфигурации и журналы проверки совпадают.In one particular embodiment, the scan log is sent from only one computer from the same local network if the computers in the network of the same configuration and the scan logs match.
В еще одном из частных вариантов реализации повторная отправка эвристических сценариев обнаружения не происходит целиком, а лишь высылаются изменения в самих сценариях.In another private implementation, the resending of heuristic detection scripts does not occur entirely, but only the changes in the scripts themselves are sent.
В другом частном варианте реализации эвристические сценарии разделяются на общие и частные.In another particular embodiment, heuristic scenarios are divided into general and particular.
В одном из частных вариантов реализации общие эвристические сценарии могут быть использованы в случае вирусных эпидемий на большом количестве компьютеров, зараженных разными модификациями одних и тех же вредоносных приложений.In one of the private options for implementation, general heuristic scenarios can be used in case of virus outbreaks on a large number of computers infected with different modifications of the same malicious applications.
В еще одном из частных вариантов реализации частные эвристические сценарии могут быть использованы для обнаружения вредоносных приложений на отдельных компьютерах.In yet another private embodiment, private heuristic scripts can be used to detect malicious applications on individual computers.
В другом частном варианте реализации журнал проверки содержит метаданные вредоносных приложений.In another private embodiment, the scan log contains metadata of malicious applications.
В одном из частных вариантов реализации метаданными могут быть, по меньшей мере, ключи автозапуска, CLSID, имена системных служб и драйверов, имена файлов.In one particular embodiment, the metadata may be at least autorun keys, CLSIDs, system service and driver names, file names.
В еще одном из частных вариантов реализации обнаружение ложных срабатываний происходит с помощью сравнения метаданных вредоносных приложений в журнале проверки с метаданными безопасных объектов.In yet another particular embodiment, the detection of false positives occurs by comparing the metadata of malicious applications in the scan log with the metadata of safe objects.
Краткое описание чертежейBrief Description of the Drawings
Фиг.1 отображает систему для лечения компьютеров от вредоносных приложений.Figure 1 depicts a system for treating computers from malicious applications.
Фиг.2 отображает способ работы настоящего изобретения.2 depicts a method of operation of the present invention.
Фиг.3 приводит пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.Figure 3 gives an example of a general-purpose computer system on which the present invention can be implemented.
Осуществление изобретенияThe implementation of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.
Настоящее изобретение решает задачу нахождения как можно большего количества вредоносного ПО с помощью использования эвристических методов обнаружения, сохраняя при этом минимальный уровень ложных срабатываний и не нагружая сетевой канал чрезмерным количеством обращений к серверу провайдера антивирусных услуг. Стоит отметить, что в настоящее время большая часть ПО является легитимной и, соответственно, безопасной. Таким образом, требуется накопление статистических данных о безопасном (проверенном) ПО для последующего выявления признаков, с помощью которых можно будет исключить как настоящее, так и будущее безопасное ПО из эвристической проверки. С другой стороны, для обнаружения современного вредоносного ПО требуется иметь методы обнаружения, которые позволяют обнаруживать его в 100% случаях, охватывая при этом как существующие версии вредоносного ПО, так и будущие.The present invention solves the problem of finding as much malware as possible by using heuristic detection methods, while maintaining a minimum level of false positives and not loading the network channel with an excessive number of calls to the server of the anti-virus service provider. It is worth noting that at present most of the software is legitimate and, accordingly, safe. Thus, the accumulation of statistics on safe (verified) software is required for the subsequent identification of signs by which it will be possible to exclude both present and future safe software from heuristic checking. On the other hand, the detection of modern malware requires detection methods that allow it to be detected in 100% of cases, covering both existing versions of the malware and future ones.
Фиг.1 отображает систему для лечения компьютеров от вредоносных приложений. Для решения данной задачи на пользовательских компьютерах 100, на которых может быть найдено вредоносное ПО, проводится проверка с помощью средства проверки (не отображено). Проверка может быть выполнена с помощью известных методов анализа, например метода, описанного в патенте US7540030. Как итог подобной проверки средство проверки получает журнал проверки, в котором записана информация о найденном вредоносном ПО и последствиях его работы. Помимо вредоносного ПО в журнал проверки могут быть занесены и неизвестные (подозрительные) приложения, которые проявляют или проявляли активность, похожую на активность вредоносных приложений (подозрительная активность), как, например, установка в silent режиме (без запросов пользователя и без вывода какой-либо информации на экран), добавление имени файла в список автозапуска при загрузке ОС, запись/изменение файлов в системных папках и т.д. Средство проверки может создавать журнал проверки как в заданный момент времени (например, по требованию пользователя или периодически), так и постоянно пополнять журнал проверки по мере отслеживания системных событий. В журнал проверки включаются такие данные, как: созданные/измененные файлы, созданные/измененные ключи реестра, информация о сетевых соединениях, загруженные библиотеки (такие как DLLs), драйверы, модули расширения, информация об операционной системе (ОС), установленной на компьютере 100 и т.д. Информация может быть доступна с разной степенью детализации, например, в одном из вариантов реализации данные о файлах включают только хеш-суммы файлов, в то время как в другом варианте реализации данные могут включать метаданные о файле, такие как: имя файла, время последнего изменения файла, время линковки, цифровая подпись файла, тип файла, путь размещения файла, атрибуты «только чтение», «архивный», «скрытый», «системный» и т.д.Figure 1 depicts a system for treating computers from malicious applications. To solve this problem, on
В качестве подозрительной активности можно привести следующий пример: если приложение Internet Explorer пользователя имеет неизвестную панель инструментов, и контрольная сумма такого исполняемого файла Internet Explorer отличается от контрольной суммы стандартного исполняемого файла Internet Explorer, и он также не соответствует какой-либо действительной записи базе данных безопасного ПО, тогда информация об этой версии Internet Explorer будет помещена в журнал проверки. Однако эта строка инструментов может быть пробной версией продукта стороннего производителя, который не представляет какой-либо вредоносный код, но для такого определения как раз и требуется дополнительный анализ.The following example can be cited as suspicious activity: if the user's Internet Explorer application has an unknown toolbar, and the checksum of such an Internet Explorer executable file is different from the checksum of the standard Internet Explorer executable file, and it also does not correspond to any valid record in the safe database Software, then information about this version of Internet Explorer will be placed in the audit log. However, this line of tools may be a trial version of a third-party product that does not represent any malicious code, but such an analysis requires additional analysis.
Полученные от компьютеров 100 журналы проверки попадают на средство 110 анализа журналов, которое обрабатывает получаемые журналы проверки в зависимости от различных параметров, таких как: тип операционной системы, установленной на компьютере 100; IP-адрес компьютера 100 (дополнительно также с указанием региона); время формирования журнала проверки; информация о наличии у пользователя прав администратора; сведения о установленном антивирусном ПО и актуальности его баз и т.д. Приведенные данные могут быть необходимы для формирования наиболее эффективных эвристических сценариев обнаружения для использования у пользователей из определенных регионов, которые могли столкнуться с эпидемией неизвестного вредоносного ПО. Описанная информация вместе с самим журналом проверки сохраняется в базе данных журналов 120.The verification logs received from
Информация из базы данных журналов 120 используется средством 130 создания эвристических сценариев, которое создает эвристические сценарии обнаружения вредоносного ПО, которые будут использованы на компьютерах 100. Для того чтобы избежать большого количества ложных срабатываний, а также повысить эффективность обнаружения вредоносного ПО, используются база данных 150 вредоносных объектов и база данных 140 безопасных объектов. Приведенные базы данных содержат информацию об известном вредоносном ПО (база данных 150 вредоносных объектов), так и обо всем легитимном, т.е. безопасном ПО (база данных 140 безопасных объектов). Подобная информация включает метаданные о файлах (хеш-сумма, размер, название и т.д.), так и более подробную информацию о том, как функционирует то или иное приложение: какие создает/изменяет файлы на диске, создает/изменяет ключи реестра, устанавливает соединения и т.д. Эта информация необходима для сравнения ее с информацией из журнала проверки для того, чтобы можно было, во-первых, исключить те данные, которые относятся к работе безопасного ПО, во-вторых, для выявления информации, которая относится к вредоносному ПО и последствиям его работы. База данных 140 безопасных объектов необходима для того, чтобы исключать из эвристических сценариев процедуры обнаружения объектов, которые относятся к безопасному ПО, исключая тем самым ложные срабатывания.The information from the
Информация о вредоносном ПО пополняется путем анализа работы или эмуляции этих приложений на тестовых компьютерах или виртуальных машинах (таких как VirtualPC или VMWare) с последующим аккумулированием всех изменений в ОС и сведений о поведении изучаемого приложения. Информация о безопасном ПО может собираться аналогичным образом, а также предоставляться самими поставщиками этого ПО (т.е. такими компаниями, как Microsoft, Google, Adobe и т.д.) или автоматически собираться с известных сайтов, распространяющих ПО и/или различные обновления к ПО. Кроме того, как для вредоносного ПО, так и для безопасного определяются характерные признаки, которые могут быть использованы для определения еще неизвестных приложений - как вредоносных, так и безопасных.Information about malware is replenished by analyzing the operation or emulation of these applications on test computers or virtual machines (such as VirtualPC or VMWare), followed by the accumulation of all changes in the OS and information about the behavior of the studied application. Information about safe software can be collected in a similar way, as well as provided by the suppliers of this software (i.e. companies such as Microsoft, Google, Adobe, etc.) or automatically collected from well-known sites that distribute software and / or various updates. to software. In addition, both malicious and safe malware identify characteristic features that can be used to identify yet unknown applications - both malicious and safe.
На основании имеющейся в базе данных 150 вредоносных объектов информации о вредоносном ПО можно корректировать существующие способы обнаружения подобного ПО. Один из примеров подобных способов рассматривается в патенте US 7530106, в котором раскрывает способ присвоения специального рейтинга опасности для каждого исполняемого процесса. С помощью специальной системы правил каждый процесс набирает определенный рейтинг, на основе которого на процесс будут накладываться ограничения, определяемые HIPS-политикой. На основании собранных из журналов проверки сведений выделяется информация, которая относится к определенному вредоносному ПО - например, тому, которое изменяет определенные системные файлы. Рейтинг опасности для такого ПО может быть выставлен в 100% при совпадении метаданных с теми, что были записаны в правиле (например, для однозначной идентификации могут использоваться CLSID). Идентификация вредоносного ПО, как правило, происходит по файлам и ключам реестра, которые требуется удалить, поместить в карантин или восстановить прежнюю незараженную копию (в том случае, если вредоносное ПО изменило важные системные объекты).Based on the malware information in the database of 150 malicious objects, existing methods for detecting such software can be adjusted. One example of such methods is discussed in US Pat. No. 7,531,006, which discloses a method for assigning a specific hazard rating to each executable process. Using a special system of rules, each process gains a certain rating, based on which the process will be subject to restrictions determined by the HIPS policy. Based on the information gathered from the audit logs, information is released that relates to a specific malware - for example, one that modifies certain system files. The hazard rating for such software can be set at 100% if metadata coincides with those recorded in the rule (for example, CLSID can be used for unambiguous identification). Identification of malware usually takes place according to files and registry keys that need to be deleted, quarantined or restored to the previous uninfected copy (in the event that the malware has changed important system objects).
Средство 130 создания эвристических сценариев использует базу данных 120 журналов для того, чтобы разрабатывать как общие эвристические сценарии, так и частные. Общие сценарии могут быть использованы в случае вирусных эпидемий на большом количестве компьютеров, зараженных разными модификациями одного и того же вредоносного ПО. Также общие сценарии могут быть использованы в корпоративных сетях с большим количеством компьютеров с одинаковой программно-аппаратной частью. Частные сценарии могут быть использованы для обнаружения вредоносного ПО на отдельных компьютерах.The
Можно привести следующие примеры формирования как общих, так и частных эвристических сценариев обнаружения.The following examples of the formation of both general and private heuristic detection scenarios can be given.
Пример частного сценария для обнаружения конкретного вредоносного ПО:Example private scenario for detecting specific malware:
beginbegin
AddEvAlarmByCLSID(′4E1075F4-EEC4-4A86-ADD7-CD5F52858C31′,AScriptName,′2020search.dll′);AddEvAlarmByCLSID (′ 4E1075F4-EEC4-4A86-ADD7-CD5F52858C31 ′, AScriptName, ′ 2020search.dll ′);
AddEvAlarmByCLSID(′FC2493D6-A673-49FE-A2EE-EFE03E95C27C′,AScriptName,′2020search.dll′);AddEvAlarmByCLSID (′ FC2493D6-A673-49FE-A2EE-EFE03E95C27C ′, AScriptName, ′ 2020search.dll ′);
end.end.
В этом случае сценарий был получен следующим образом:In this case, the script was obtained as follows:
1. В карантин на одном из компьютеров 100 попадает потенциально вредоносный файл ′2020search.dll′, после чего информация о нем попадает на средство ПО анализа журналов и после обработки этой информации в базу данных 120 журналов.1. A potentially malicious file 2020search.dll gets into quarantine on one of the
2. Вредоносность файла подтверждается статистикой (т.е. такой файл встречается не первый раз на компьютерах 100, при этом информации о таком файле нет в базе данных 140 безопасных объектов и т.п.).2. File maliciousness is confirmed by statistics (that is, such a file is not found for the first time on
3. Средство 130 создания эвристических сценариев выделяет характерные признаки данного файла. В данном примере характерными признаками являются имя файла и CLSID его класса.3.
4. Производиться контроль ложных срабатываний - проверка отсутствия CLSID в базе данных 140 безопасных объектов.4. False positives are monitored - verification of the absence of CLSIDs in the database of 140 safe objects.
5. После этого создается вышеобозначенный сценарий.5. After that, the above scenario is created.
Подобный сценарий хорошо подходит для распространенного вредоносного ПО, которое можно безошибочно поименовать и классифицировать.Such a scenario is well suited for common malware that can be accurately named and classified.
Пример общего эвристического сценария обнаружения вредоносного ПО:An example of a common heuristic malware detection scenario:
varvar
FPath: string;FPath: string;
procedure X(AName: string); beginprocedure X (AName: string); begin
AddEvAlarmByName(FPath+AName, AScriptName, AName);AddEvAlarmByName (FPath + AName, AScriptName, AName);
end;end;
beginbegin
FPath:=NormalDir(′%SysDisk%\′);FPath: = NormalDir (′% SysDisk% \ ′);
X(′zpharaoh.exe′);X (′ zpharaoh.exe ′);
X(′winstall.exe′);X (′ winstall.exe ′);
X(′md.exe′);X (′ md.exe ′);
X(′lsass.exe′);X (′ lsass.exe ′);
…...
X(′luklylq.com′);X (′ luklylq.com ′);
EndEnd
В данном случае происходит кластеризация по метаданным. Основной подход выглядит следующим образом:In this case, metadata clustering occurs. The basic approach is as follows:
1. Берется за основу один из типов метаданных (например - имя файла, находящегося в характерной папке), и делается выборка вредоносных объектов (файлов) с группировкой и подсчетом статистики. Если обнаруживается N файлов с совпадающими метаданными - это потенциальный элемент для сценария (второй фактор - как хорошо определяется подобный файл - если он встречается редко, но плохо поддается обнаружению и часто пропускается при анализе - значит, требуется создание сценария).1. One of the types of metadata is taken as a basis (for example, the name of a file located in a characteristic folder), and a selection of malicious objects (files) is done with grouping and statistics counting. If N files with matching metadata are detected, this is a potential element for the script (the second factor is how well a similar file is defined - if it is rare, but difficult to detect and often skipped during analysis, it means that a script is required).
2. Делается контрольная проверка - не встречались ли легитимные файлы (безопасные объекты) с такими метаданными - если да, то использовать этот тип метаданных для сценария нельзя. В такой ситуации или используются дополнительные метаданные, или принимается решение о том, что данную разновидность вредоносного приложения по метаданным обнаружить невозможно без риска ложного срабатывания. Пример - вредоносное приложение, подменяющее собой легитимный системный файл.2. A check is made to see if legitimate files (safe objects) have met with such metadata - if so, then this type of metadata cannot be used for the script. In this situation, either additional metadata is used, or a decision is made that it is impossible to detect this kind of malicious application by metadata without the risk of a false positive. An example is a malicious application replacing a legitimate system file.
Часто используемые метаданные в данном случае - ключи автозапуска, CLSID, имена системных служб и драйверов, имена файлов. В данном примере можно трактовать подозрение md.exe как: "известны случаи, когда на ПК пострадавшего в корне системного диска обнаруживался пропущенный антивирусом файл md.exe, который после обнаружения был признан вредоносным. Это распространенное явление, известных чистых объектов (файлов) с таким именем и местоположением не найдено".Often used metadata in this case are autorun keys, CLSID, names of system services and drivers, file names. In this example, you can interpret the suspicion of md.exe as: "there are cases when the md.exe file that was missing by the antivirus was detected on the PC of the victim in the root of the system drive, which was found to be malicious after detection. This is a common occurrence of known clean objects (files) with name and location not found. "
Пример по другому типу метаданных - CLSID:An example for another type of metadata is the CLSID:
procedure CC(S: string);procedure CC (S: string);
beginbegin
AddEvAlarmByCLSID(S, AScriptName,");AddEvAlarmByCLSID (S, AScriptName, ");
end;end;
beginbegin
CC(′408BD6C-6563-4EA7-8656-9D55DD65AlA′);CC (′ 408BD6C-6563-4EA7-8656-9D55DD65AlA ′);
CC(′00000012-890E-4AAC-AFD9-EFF6954A34DD′);CC (′ 00000012-890E-4AAC-AFD9-EFF6954A34DD ′);
CC(′00000231-1000-0010-8000-00AA006D2EA4′);CC (′ 00000231-1000-0010-8000-00AA006D2EA4 ′);
CC(′00000EFl-0786-4633-87C6-lAA7A44296DA′);CC (′ 00000EFl-0786-4633-87C6-lAA7A44296DA ′);
- и таких 350 штук- and such 350 pieces
CC(′FFB51760-344E-4FFB-BFFF-4B18C7AC1D63′);CC (′ FFB51760-344E-4FFB-BFFF-4B18C7AC1D63 ′);
CC(′FFF5092F-7172-4018-827B-FA5868FB0478′);CC (′ FFF5092F-7172-4018-827B-FA5868FB0478 ′);
CC(′FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86′);CC (′ FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86 ′);
CC(′FFFFE708-B832-42F1-BAFF-247753B5E452′);CC (′ FFFFE708-B832-42F1-BAFF-247753B5E452 ′);
end.end.
Источник данных для создания таких скриптов - базы данных 120, 150 и 140. Стоит отметить, что любая информация, поступившая с компьютеров 100, обогащает данные базы, так же как и обнаружение любого ложного срабатывания.The data source for creating such scripts is
Другой пример - обнаружение ActiveSetup записей реестра, которые некоторые вредоносные объекты применяют как необычную форму автозапуска:Another example is ActiveSetup detection of registry entries that some malicious objects use as an unusual form of autorun:
procedure CA(S: string);procedure CA (S: string);
varvar
Tmp: string;Tmp: string;
beginbegin
Tmp:=RegKeyStrParamRead(′HKLM′, ′Software\Microsoft\Active Setup\Installed Components\′+S, ′StubPath′);Tmp: = RegKeyStrParamRead (′ HKLM ′, ′ Software \ Microsoft \ Active Setup \ Installed Components \ ′ + S, ′ StubPath ′);
if Tmpo<>′′thenif Tmpo <> ′ ′ then
AddEvAlarmByName(Tmp, AScriptName, ExtractFileName(Tmp));AddEvAlarmByName (Tmp, AScriptName, ExtractFileName (Tmp));
end;end;
beginbegin
CA(′198BCB9E-A95B-45FF-A89D-5FC22623446C′);CA (′ 198BCB9E-A95B-45FF-A89D-5FC22623446C ′);
CA(′B38B32A2-D4EB-A6D8-14AB-38ACD8369E3E′);CA (′ B38B32A2-D4EB-A6D8-14AB-38ACD8369E3E ′);
CA(′QPYMQQFS′);CA (′ QPYMQQFS ′);
CA(′{007C0E62-16F7-14AD-4EFB-405E87659967}′);CA (′ {007C0E62-16F7-14AD-4EFB-405E87659967} ′);
CA(′{H9I12RB03-АВ-В70-7-11D2-9CBD-0000FS7AH6-9E2121BHJLK}′);CA (′ {H9I12RB03-AB-B70-7-11D2-9CBD-0000FS7AH6-9E2121BHJLK} ′);
…...
endend
После того как эвристические сценарии обнаружения были выработаны и переданы на компьютеры 100, они могут быть исполнены, и результаты их работы проверены в соответствии со списками известного вредоносного (blacklist) и безопасного (whitelist) ПО, чтобы удостовериться в правильности выполнения эвристических сценариев. В том случае, если эвристические сценарии были составлены правильно, то их выполнение позволит вылечить компьютеры 100 от всего имеющегося вредоносного ПО, не затронув безопасное ПО. Однако этот идеальный результат чаще всего невозможно достигнуть по ряду причин:After the heuristic detection scripts have been developed and transferred to
- постоянно появляется новое вредоносное ПО;- New malware is constantly appearing;
- постоянно появляется новое безопасное ПО, а также постоянно обновляется уже известное безопасное ПО;- New safe software is constantly appearing, and the already known safe software is constantly being updated;
- как правило, эвристические методы обнаружения не обеспечивают 100% обнаружения неизвестного вредоносного ПО без возникновения ложных срабатываний.- as a rule, heuristic detection methods do not provide 100% detection of unknown malware without the occurrence of false positives.
Для решения данных проблем требуется постоянная доработка эвристических сценариев обнаружения. Однако при постоянной работе вышеописанной схемы каналы связи могут быть перегружены информацией с журналами проверки, а также эвристическими сценариями, что особенно актуально для большого количества компьютеров 100. Для решения этой проблемы используются следующие подходы:To solve these problems, constant updating of heuristic detection scenarios is required. However, with the constant operation of the above-described scheme, the communication channels can be overloaded with information from the verification logs, as well as heuristic scripts, which is especially true for a large number of
- получение полного журнала проверки от компьютера 100 происходит только в первый раз, в дальнейшем пересылается лишь информация о ложных срабатываниях и неизвестном подозрительном ПО, которое было обнаружено с помощью эвристических сценариев обнаружения;- receiving a complete verification log from
- в корпоративных сетях возможно отправлять журналы проверки не от каждого компьютера одной и той же конфигурации, а только от одного в том случае, если журналы совпадают;- in corporate networks, it is possible to send verification logs not from each computer of the same configuration, but only from one if the logs match;
- повторная отправка эвристических сценариев обнаружения не происходит целиком, а лишь высылаются изменения в самих сценариях (difference).- re-sending heuristic detection scripts does not occur entirely, but only the changes in the scripts themselves are sent (difference).
Фиг.2 отображает способ работы настоящего изобретения. На этапе 210 происходит анализ компьютера 100 на наличие вредоносных приложений, формирование журнала проверки и его отправка на средство 110 анализа журналов. На этапе 220 средство 110 анализа журналов выполняет анализ полученного журнала проверки и записывает результаты анализа в базу данных 120 журналов. На этапе 225 определяется, был ли анализ выполнен впервые или нет. В случае положительного ответа на этапе 230 создается эвристический сценарий обнаружения с помощью средства 130 создания эвристических сценариев. В одном из вариантов реализации эвристический сценарий обнаружения создается на основании более чем одного журнала проверки, что позволяет создать более универсальный эвристический сценарий обнаружения, который сможет устранить вредоносные приложения на более чем одном компьютере. Также в еще одном из вариантов реализации на этапе 230 выбирается уже заранее созданный эвристический сценарий обнаружения, который был разработан на основании уже собранных ранее журналов проверки, полученных с других компьютеров 100. На этапе 240 происходит отправка эвристического сценария обнаружения на компьютер 100 с его последующим выполнением.2 depicts a method of operation of the present invention. At step 210, the
Если на этапе 225 было обнаружено, что анализ выполнялся уже не в первый раз, то на этапе 250 происходит обнаружение ложных срабатываний и/или неизвестного вредоносного ПО, которое может присутствовать на компьютере 100. Далее на этапе 260 определяется, были ли обнаружены похожие ложные срабатывания и/или неизвестное вредоносное ПО у большого количества пользователей. В различных вариантах реализации под количеством пользователей могут восприниматься различные значения: при анализе небольшого количества компьютеров это может быть значение больше одного, но в рамках рассмотрения миллионов компьютеров оно может составлять десятки. Если было решено, что ложные срабатывания и/или неизвестное вредоносное ПО обнаружено на небольшом количестве компьютеров, то на этапе 270 для них создается новый эвристический сценарий обнаружения, в противном случае на этапе 280 дорабатывается уже существующий эвристический сценарий обнаружения. На этапе 290 происходит отправка эвристического сценария обнаружения на компьютер 100 с его последующим выполнением. Стоит отметить, что повторная отправка эвристических сценариев обнаружения не происходит целиком, а лишь высылаются изменения в самих сценариях (difference).If at step 225 it was found that the analysis was not carried out for the first time, then at step 250 there is a detection of false positives and / or unknown malware that may be present on the
Фиг.3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.Figure 3 is an example of a general purpose computer system, a personal computer or
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании сущности персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the
Настоящее описание излагает основной изобретательский замысел автора, который не может быть ограничен теми аппаратными устройствами, которые упоминались ранее. Следует отметить, что аппаратные устройства прежде всего предназначены для решения узкой задачи. С течением времени и с развитием технического прогресса такая задача усложняется или эволюционирует. Появляются новые средства, которые способны выполнить новые требования. В этом смысле следует рассматривать данные аппаратные устройства с точки зрения класса решаемых ими технических задач, а не чисто технической реализации на некой элементной базе.The present description sets forth the main inventive concept of the author, which cannot be limited to those hardware devices that were mentioned earlier. It should be noted that hardware devices are primarily designed to solve a narrow problem. Over time and with the development of technological progress, such a task becomes more complicated or evolves. New tools are emerging that are able to fulfill new requirements. In this sense, these hardware devices should be considered from the point of view of the class of technical problems they solve, and not purely technical implementation on a certain elemental base.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.
Claims (12)
а) производят анализ компьютера на наличие вредоносных приложений, при этом сохраняют результаты анализа в журнал проверки;
б) отправляют журнал проверки на анализ;
в) создают эвристический сценарий обнаружения вредоносных приложений на основании анализа журнала проверки и отправляют сформированный эвристический сценарий обнаружения вредоносных приложений на компьютер;
г) выполняют действия по оптимизации работы сценария:
i. производят обнаружение ложных срабатываний и/или неизвестных вредоносных приложений;
ii. вносят изменения в существующий эвристический сценарий обнаружения вредоносных приложений для исправления ложных срабатываний и/или обнаружения неизвестных вредоносных приложений;
iii. отправляют изменения для существующего эвристического сценария обнаружения вредоносных приложений.1. A method for creating and optimizing heuristic scripts for detecting malicious applications, comprising the steps of:
a) analyze the computer for malicious applications, while saving the results of the analysis in the audit log;
b) send a check log for analysis;
c) create a heuristic script for detecting malicious applications based on the analysis of the scan log and send the generated heuristic script for detecting malicious applications to the computer;
g) perform actions to optimize the script:
i. detect false positives and / or unknown malicious applications;
ii. make changes to the existing heuristic script for detecting malicious applications to fix false positives and / or detect unknown malicious applications;
iii. send changes to an existing heuristic malware detection script.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012141479/08A RU2510530C1 (en) | 2012-09-28 | 2012-09-28 | Method for automatic generation of heuristic algorithms for searching for malicious objects |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012141479/08A RU2510530C1 (en) | 2012-09-28 | 2012-09-28 | Method for automatic generation of heuristic algorithms for searching for malicious objects |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2510530C1 true RU2510530C1 (en) | 2014-03-27 |
Family
ID=50343112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2012141479/08A RU2510530C1 (en) | 2012-09-28 | 2012-09-28 | Method for automatic generation of heuristic algorithms for searching for malicious objects |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2510530C1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2589862C1 (en) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Method of detecting malicious code in random-access memory |
RU2602369C2 (en) * | 2015-03-31 | 2016-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of reducing number of determination of legitimate file as malware |
RU2665909C1 (en) * | 2017-08-10 | 2018-09-04 | Акционерное общество "Лаборатория Касперского" | Method of selective use of patterns of dangerous program behavior |
RU2673708C1 (en) * | 2017-07-17 | 2018-11-29 | Акционерное общество "Лаборатория Касперского" | System and method of machine training model of detecting malicious files |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070143843A1 (en) * | 2005-12-16 | 2007-06-21 | Eacceleration Corporation | Computer virus and malware cleaner |
US20070226259A1 (en) * | 2006-03-21 | 2007-09-27 | Marty Kacin | IT Automation Scripting Module And Appliance |
US7281267B2 (en) * | 2001-02-20 | 2007-10-09 | Mcafee, Inc. | Software audit system |
RU80037U1 (en) * | 2007-10-31 | 2009-01-20 | ЗАО "Лаборатория Касперского" | ANTI-VIRUS MOBILE APPLICATIONS MANAGEMENT SYSTEM |
US7540030B1 (en) * | 2008-09-15 | 2009-05-26 | Kaspersky Lab, Zao | Method and system for automatic cure against malware |
US20100077481A1 (en) * | 2008-09-22 | 2010-03-25 | Microsoft Corporation | Collecting and analyzing malware data |
-
2012
- 2012-09-28 RU RU2012141479/08A patent/RU2510530C1/en active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7281267B2 (en) * | 2001-02-20 | 2007-10-09 | Mcafee, Inc. | Software audit system |
US20070143843A1 (en) * | 2005-12-16 | 2007-06-21 | Eacceleration Corporation | Computer virus and malware cleaner |
US20070226259A1 (en) * | 2006-03-21 | 2007-09-27 | Marty Kacin | IT Automation Scripting Module And Appliance |
RU80037U1 (en) * | 2007-10-31 | 2009-01-20 | ЗАО "Лаборатория Касперского" | ANTI-VIRUS MOBILE APPLICATIONS MANAGEMENT SYSTEM |
US7540030B1 (en) * | 2008-09-15 | 2009-05-26 | Kaspersky Lab, Zao | Method and system for automatic cure against malware |
US20100077481A1 (en) * | 2008-09-22 | 2010-03-25 | Microsoft Corporation | Collecting and analyzing malware data |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2602369C2 (en) * | 2015-03-31 | 2016-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of reducing number of determination of legitimate file as malware |
RU2589862C1 (en) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Method of detecting malicious code in random-access memory |
US9407648B1 (en) | 2015-06-30 | 2016-08-02 | AO Kaspersky Lab | System and method for detecting malicious code in random access memory |
US10242186B2 (en) | 2015-06-30 | 2019-03-26 | AO Kaspersky Lab | System and method for detecting malicious code in address space of a process |
RU2673708C1 (en) * | 2017-07-17 | 2018-11-29 | Акционерное общество "Лаборатория Касперского" | System and method of machine training model of detecting malicious files |
RU2665909C1 (en) * | 2017-08-10 | 2018-09-04 | Акционерное общество "Лаборатория Касперского" | Method of selective use of patterns of dangerous program behavior |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7084778B2 (en) | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks | |
US9147073B2 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
US10193906B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
RU2568295C2 (en) | System and method for temporary protection of operating system of hardware and software from vulnerable applications | |
US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
US9165142B1 (en) | Malware family identification using profile signatures | |
US8479296B2 (en) | System and method for detecting unknown malware | |
RU2624552C2 (en) | Method of malicious files detecting, executed by means of the stack-based virtual machine | |
RU2514140C1 (en) | System and method for improving quality of detecting malicious objects using rules and priorities | |
US8566943B2 (en) | Asynchronous processing of events for malware detection | |
US7934261B1 (en) | On-demand cleanup system | |
RU2617654C2 (en) | System and method of formation of anti-virus records used to detect malicious files on user's computer | |
JP2010160791A (en) | Context-aware real-time computer protection system and method | |
RU2697954C2 (en) | System and method of creating antivirus record | |
US20110283358A1 (en) | Method and system to detect malware that removes anti-virus file system filter driver from a device stack | |
CN108369541B (en) | System and method for threat risk scoring of security threats | |
Continella et al. | Prometheus: Analyzing WebInject-based information stealers | |
US10262131B2 (en) | Systems and methods for obtaining information about security threats on endpoint devices | |
RU2510530C1 (en) | Method for automatic generation of heuristic algorithms for searching for malicious objects | |
RU2587424C1 (en) | Method of controlling applications | |
Gupta et al. | Developing a blockchain-based and distributed database-oriented multi-malware detection engine | |
RU101224U1 (en) | SYSTEM OF IDENTIFICATION AND MINIMIZATION OF RISK OF FALSE WORKS | |
RU2774042C1 (en) | System and method for identifying potentially malicious changes in an application | |
RU2739832C1 (en) | System and method of detecting changed system files for checking for malware in a cloud service |