"Лаборатория Касперского" сообщает о патентовании в США передовой технологии борьбы с неизвестными угрозами

[SDA]

"Лаборатория Касперского", ведущий производитель систем
защиты от вредоносного и нежелательного ПО, хакерских атак и спама,
сообщает об успешном патентовании в США передовой технологии в области
информационной безопасности. Технология позволяет детектировать и
удалять все, в том числе ранее неизвестные вредоносные программы,
установленные на компьютер пользователя в результате одного и того же
вирусного инцидента.

Современные вредоносные программы широко используют метод проникновения
на компьютеры пользователей с помощью троянских технологий. Загрузившись
и установившись в систему, такой троянец скачивает из интернета
множество других вредоносных программ. Таким образом на компьютере
пользователя могут оказаться десятки различных вредоносных кодов и их
компонентов.

Часть из них могут оказаться новыми вредоносными программами с ещё не
занесёнными в антивирусные базы сигнатурами, либо неизвестными
технологиями обхода детектирования. Поэтому такое вредоносное ПО не
обнаруживается антивирусными средствами сразу же после заражения
компьютера и может оставаться в системе ещё некоторое время, проявляя
свой деструктивный функционал.

Такая неполнота антивирусной защиты делает особо актуальной задачу
детектирования и удаления всех вредоносных программ и их компонентов,
загруженных и установленных на компьютер пользователя в результате
вирусного инцидента. Решить её можно используя новейшую технологию
"Лаборатории Касперского", разработанную Михаилом
Павлющиком.

Патент на данную технологию зарегистрирован под номером 7 472 420
Патентным бюро США 30 декабря 2008 года. Описанные в патенте метод и его
реализация позволяют при обнаружении только одного вредоносного
компонента детектировать и удалять все вредоносные программы,
появившиеся в вычислительной системе в рамках одного и того же вирусного
инцидента, а также устанавливать источник инцидента и время его
возникновения.

Новая технология основана на протоколировании системных событий,
указывающих на возможность вирусного заражения (таких как изменение
исполняемых файлов и/или запись в системном регистре), и последующем
определении рамок вирусного инцидента по сделанным записям. Согласно
запатентованной технологии, при обнаружении вредоносного процесса или
файла запускается анализатор предшествующих событий, что позволяет
определять источник и время заражения. Затем система анализирует все
дочерние события, порождённые найденным источником, что дает возможность
детектировать все участвовавшие в инциденте вредоносные программы, в том
числе ранее неизвестные.

Кроме детектирования, новая технология обеспечивает удаление зловредных
кодов или постановку их на карантин, прерывание вредоносных процессов,
восстановление доверенных копий системных файлов из резервного
хранилища. Информация о вредоносных программах, обнаруженных с помощью
новейшего запатентованного метода, может быть мгновенно отправлена
антивирусным вендорам в целях ускорения их ответа на новые угрозы.

Определение источника и условий заражения полезно для предотвращения
подобных вирусных инцидентов в будущем, например, для выявления и
блокирования инфицированных сайтов, обнаружения и закрытия уязвимостей
программного обеспечения и т.д. Кроме того, восстановление полной
картины вирусного инцидента, её документирование могут стать основой для
успешного криминалистического анализа и доказательства вины
киберпреступника.

В настоящее время патентные организации США и России рассматривают более трех десятков патентных заявок "Лаборатории Касперского",
описывающих уникальные инновационные технологии в области информационной безопасности.
Технологии «Лаборатории Касперского» используются ведущими IT-компаниями мира, в том числе Microsoft, Bluecoat, Juniper Networks, Clearswift, Borderware, Checkpoint, Sonicwall, Websense, LanDesk, Alt-N, ZyXEL, ASUS и D-Link.

http://www.kaspersky.ru/news?id=207732896

[santy]

Имхо, довольно таки рискованная технология, если я правильно понял... она позволяет задетектированной вредоносной программе выполнить полностью вредоносный код, дабы получить полную информацию о ее потенцальных или реальных угрозах... Может ли ЛК гарантировать, что червь при определенных условиях не сорвется с крючка антивируса и не нанесет непредсказуемый ущерб пользователю или исследователю?

[Dionis]

В исходном сообщении не указано, что известный зловред будет допущен к выполнению. А вот путь, которым он появился в системе - будет отслежен.
Идея слежения за изменением системных файлов и настроек очень хороша.
Легче будет восстановить работоспособнось и удалить хвосты от выловленных вирусов.

[santy]

ну, чтобы проследить изменение системных файлов и настроек (так сказать, восстановить_установить полную картину вирусного инцидента) - надо вначале допустить это изменение.

[Зайцев Олег]

Имхо, довольно таки рискованная технология, если я правильно понял... она позволяет задетектированной вредоносной программе выполнить полностью вредоносный код, дабы получить полную информацию о ее потенцальных или реальных угрозах... Может ли ЛК гарантировать, что червь при определенных условиях не сорвется с крючка антивируса и не нанесет непредсказуемый ущерб пользователю или исследователю?

Не совсем так ... суть вот в чем - предположим что юзер запускает программу X, которая не детектится. Эта программа дропает программы X-1, X-2, X-3 (они тоже не детектятся), при этом X-2 дропает еще файлы X-2-1 и X-2-2 - и тут монитор/PDM/HIPS или эмулятор обнаруживает, что друпнутый файл X-2-1 - скажем злобный PSW троян. Обычный антивирус при этом что делает ? Да очень просто - прибивает/блокирует X-2-1 и на этом все. А предлагаемая в патенте идея предполагает:
1. Записать всю цепочку, кто-кого дропает, кто-что инсталлит. Дабы видеть картину во всей ее полноте, а не возникший непонятно откуда зловредный файл X-2-1, что значительно упростит расследование инцидента - позволит понять, кто что дропал, когда, откуда и т.п. Пример - расследовал я инцидент в одной ЛВС (к счастью не своей). Там пароли уходили, как оказалось воровались трояном типа пинча, который самоуничтожался. Как он попадает на ПК юзеров - загадка ... а оказалось, что его один шутник джоинером приделал к пакету новых драйверов NVidia, который лежал в их инсталле. Имей админ на руках такую "цепочку событий инцидента", он бы все понял за 10 секунд ...
2. Опираясь на данные п.п. 1 можно не просто прибить X-2-1, но и "размотать" цепочку действий в обратном порядке и поубивать/позаблокировать или занести в недоверенные и сильнооограниченные все программы из цепочки - на тот случай, если это тоже трояны, только пока не детектируемые.
Т.е. эта технология не означает, что антивирус будет запускать всех зловредов вместо их "убиения на месте", ее основное назначение - ситуация типа описанной выше. Второй типовой пример - аналогичная описанной ситуация, но скажем детект чего-то установившегося появляется через некоторое время с очередным апдейтом баз - тогда логика может быть аналогична.

[santy]

а сможет зловред противодействовать подобному логгированию? (с его стороны, тоже видимо со временем, появятся технологии типа "отвлекающих тепловых ракет").

[Зайцев Олег]

а сможет зловред противодействовать подобному логгированию? (с его стороны, тоже видимо со временем, появятся технологии типа "отвлекающих тепловых ракет").

Логгирование в такой ситуации как правило идет до первой опасной операции, которая может нанести необратимый вред ПК или позволит зверю уйти из-под контроля ...

[Damien]

значительно упростит расследование инцидента - позволит понять, кто что дропал, когда, откуда и т.п.

давно искал утилиту типа FileMon с постоянным мониторингом и записью лога файловой активности.
Интересен сам интерфейс взаимодействия пользователя с этой новинкой. Полный автомат или ПО что то будет спрашивать...