Показано с 1 по 8 из 8.

"Лаборатория Касперского" сообщает о патентовании в США передовой технологии борьбы с неизвестными угрозами

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    "Лаборатория Касперского" сообщает о патентовании в США передовой технологии борьбы с неизвестными угрозами

    "Лаборатория Касперского", ведущий производитель систем
    защиты от вредоносного и нежелательного ПО, хакерских атак и спама,
    сообщает об успешном патентовании в США передовой технологии в области
    информационной безопасности. Технология позволяет детектировать и
    удалять все, в том числе ранее неизвестные вредоносные программы,
    установленные на компьютер пользователя в результате одного и того же
    вирусного инцидента.

    Современные вредоносные программы широко используют метод проникновения
    на компьютеры пользователей с помощью троянских технологий. Загрузившись
    и установившись в систему, такой троянец скачивает из интернета
    множество других вредоносных программ. Таким образом на компьютере
    пользователя могут оказаться десятки различных вредоносных кодов и их
    компонентов.

    Часть из них могут оказаться новыми вредоносными программами с ещё не
    занесёнными в антивирусные базы сигнатурами, либо неизвестными
    технологиями обхода детектирования. Поэтому такое вредоносное ПО не
    обнаруживается антивирусными средствами сразу же после заражения
    компьютера и может оставаться в системе ещё некоторое время, проявляя
    свой деструктивный функционал.

    Такая неполнота антивирусной защиты делает особо актуальной задачу
    детектирования и удаления всех вредоносных программ и их компонентов,
    загруженных и установленных на компьютер пользователя в результате
    вирусного инцидента. Решить её можно используя новейшую технологию
    "Лаборатории Касперского", разработанную Михаилом
    Павлющиком.

    Патент на данную технологию зарегистрирован под номером 7 472 420
    Патентным бюро США 30 декабря 2008 года. Описанные в патенте метод и его
    реализация позволяют при обнаружении только одного вредоносного
    компонента детектировать и удалять все вредоносные программы,
    появившиеся в вычислительной системе в рамках одного и того же вирусного
    инцидента, а также устанавливать источник инцидента и время его
    возникновения.

    Новая технология основана на протоколировании системных событий,
    указывающих на возможность вирусного заражения (таких как изменение
    исполняемых файлов и/или запись в системном регистре), и последующем
    определении рамок вирусного инцидента по сделанным записям. Согласно
    запатентованной технологии, при обнаружении вредоносного процесса или
    файла запускается анализатор предшествующих событий, что позволяет
    определять источник и время заражения. Затем система анализирует все
    дочерние события, порождённые найденным источником, что дает возможность
    детектировать все участвовавшие в инциденте вредоносные программы, в том
    числе ранее неизвестные.

    Кроме детектирования, новая технология обеспечивает удаление зловредных
    кодов или постановку их на карантин, прерывание вредоносных процессов,
    восстановление доверенных копий системных файлов из резервного
    хранилища. Информация о вредоносных программах, обнаруженных с помощью
    новейшего запатентованного метода, может быть мгновенно отправлена
    антивирусным вендорам в целях ускорения их ответа на новые угрозы.

    Определение источника и условий заражения полезно для предотвращения
    подобных вирусных инцидентов в будущем, например, для выявления и
    блокирования инфицированных сайтов, обнаружения и закрытия уязвимостей
    программного обеспечения и т.д. Кроме того, восстановление полной
    картины вирусного инцидента, её документирование могут стать основой для
    успешного криминалистического анализа и доказательства вины
    киберпреступника.

    В настоящее время патентные организации США и России рассматривают более трех десятков патентных заявок "Лаборатории Касперского",
    описывающих уникальные инновационные технологии в области информационной безопасности.
    Технологии «Лаборатории Касперского» используются ведущими IT-компаниями мира, в том числе Microsoft, Bluecoat, Juniper Networks, Clearswift, Borderware, Checkpoint, Sonicwall, Websense, LanDesk, Alt-N, ZyXEL, ASUS и D-Link.

    http://www.kaspersky.ru/news?id=207732896

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    Имхо, довольно таки рискованная технология, если я правильно понял... она позволяет задетектированной вредоносной программе выполнить полностью вредоносный код, дабы получить полную информацию о ее потенцальных или реальных угрозах... Может ли ЛК гарантировать, что червь при определенных условиях не сорвется с крючка антивируса и не нанесет непредсказуемый ущерб пользователю или исследователю?

  4. #3
    Junior Member Репутация
    Регистрация
    10.06.2008
    Адрес
    Барнаул
    Сообщений
    80
    Вес репутации
    35
    В исходном сообщении не указано, что известный зловред будет допущен к выполнению. А вот путь, которым он появился в системе - будет отслежен.
    Идея слежения за изменением системных файлов и настроек очень хороша.
    Легче будет восстановить работоспособнось и удалить хвосты от выловленных вирусов.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    ну, чтобы проследить изменение системных файлов и настроек (так сказать, восстановить_установить полную картину вирусного инцидента) - надо вначале допустить это изменение.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от santy Посмотреть сообщение
    Имхо, довольно таки рискованная технология, если я правильно понял... она позволяет задетектированной вредоносной программе выполнить полностью вредоносный код, дабы получить полную информацию о ее потенцальных или реальных угрозах... Может ли ЛК гарантировать, что червь при определенных условиях не сорвется с крючка антивируса и не нанесет непредсказуемый ущерб пользователю или исследователю?
    Не совсем так ... суть вот в чем - предположим что юзер запускает программу X, которая не детектится. Эта программа дропает программы X-1, X-2, X-3 (они тоже не детектятся), при этом X-2 дропает еще файлы X-2-1 и X-2-2 - и тут монитор/PDM/HIPS или эмулятор обнаруживает, что друпнутый файл X-2-1 - скажем злобный PSW троян. Обычный антивирус при этом что делает ? Да очень просто - прибивает/блокирует X-2-1 и на этом все. А предлагаемая в патенте идея предполагает:
    1. Записать всю цепочку, кто-кого дропает, кто-что инсталлит. Дабы видеть картину во всей ее полноте, а не возникший непонятно откуда зловредный файл X-2-1, что значительно упростит расследование инцидента - позволит понять, кто что дропал, когда, откуда и т.п. Пример - расследовал я инцидент в одной ЛВС (к счастью не своей). Там пароли уходили, как оказалось воровались трояном типа пинча, который самоуничтожался. Как он попадает на ПК юзеров - загадка ... а оказалось, что его один шутник джоинером приделал к пакету новых драйверов NVidia, который лежал в их инсталле. Имей админ на руках такую "цепочку событий инцидента", он бы все понял за 10 секунд ...
    2. Опираясь на данные п.п. 1 можно не просто прибить X-2-1, но и "размотать" цепочку действий в обратном порядке и поубивать/позаблокировать или занести в недоверенные и сильнооограниченные все программы из цепочки - на тот случай, если это тоже трояны, только пока не детектируемые.
    Т.е. эта технология не означает, что антивирус будет запускать всех зловредов вместо их "убиения на месте", ее основное назначение - ситуация типа описанной выше. Второй типовой пример - аналогичная описанной ситуация, но скажем детект чего-то установившегося появляется через некоторое время с очередным апдейтом баз - тогда логика может быть аналогична.
    Последний раз редактировалось Зайцев Олег; 13.02.2009 в 09:48.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    а сможет зловред противодействовать подобному логгированию? (с его стороны, тоже видимо со временем, появятся технологии типа "отвлекающих тепловых ракет").

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от santy Посмотреть сообщение
    а сможет зловред противодействовать подобному логгированию? (с его стороны, тоже видимо со временем, появятся технологии типа "отвлекающих тепловых ракет").
    Логгирование в такой ситуации как правило идет до первой опасной операции, которая может нанести необратимый вред ПК или позволит зверю уйти из-под контроля ...

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.10.2008
    Сообщений
    332
    Вес репутации
    50
    значительно упростит расследование инцидента - позволит понять, кто что дропал, когда, откуда и т.п.
    давно искал утилиту типа FileMon с постоянным мониторингом и записью лога файловой активности.
    Интересен сам интерфейс взаимодействия пользователя с этой новинкой. Полный автомат или ПО что то будет спрашивать...

Похожие темы

  1. «Лаборатория Касперского» сообщает о патентовании аппаратного антивируса
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 18
    Последнее сообщение: 17.02.2010, 11:05
  2. Ответов: 4
    Последнее сообщение: 04.05.2009, 21:38

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01024 seconds with 16 queries