«Лаборатория Касперского» запатентовала технологию распознания новых упаковщиков для вирусов

Российская компания «Лаборатория Касперского» получила патент на технологию, позволяющую обнаружить вредоносное программное обеспечение, модифицированное с помощью различных упаковщиков и шифровщиков. Разработка уже интегрирована в антивирусные программы компании.

Упаковщики представляют собой файл-контейнер, который содержит в себе версию исходного вируса и код для его расшифровки. Киберпреступники используют этот инструмент для того, чтобы модифицировать вредоносную программу и затруднить ее поиск. Упаковщики и шифровщики меняют бинарный вид вируса, что позволяет ему впоследствии обойти сигнатурную проверку. Обнаружить угрозу зачастую возможно лишь в том случае, если злоумышленник использует популярные упаковщики. Однако если применяется собственный уникальный алгоритм, вредоносное ПО обнаружить очень сложно.

Новая технология, запатентованная «Лабораторией Касперского», представляет собой способ анализа, создающего отдельный профиль для каждого нового упаковщика. Созданный профиль в дальнейшем позволяет определить вирус, созданный с помощью этого упаковщика. На практике технология работает следующим образом: антивирус обнаруживает подозрительный файл с помощью собственного набора инструментов, выявляет возможность использования неких упаковщиков и отправляет на проверку к новой технологии «Лаборатории Касперского».

Далее технология протоколирует все действия проверяемого файла, выявляя шаблоны, характерные для вредоносного ПО. В итоге программа создает профиль, который впоследствии сможет обнаружить другие вирусы, созданные с помощью этого упаковщика.