Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Nowa technologia Kaspersky Lab wodzi za nos szkodliwe programy

Kaspersky Lab informuje o opatentowaniu systemu, który pozwala skuteczniej wykrywać szkodliwe programy. Każda analizowana szkodliwa aplikacja jest uruchamiana w specjalnym emulatorze, który dzięki nowej technologii działa w sposób uniemożliwiający odróżnienie go od normalnego działania systemu operacyjnego. Sprawia to, że szkodliwe programy "myślą", że infekują prawdziwy system, a nie specjalne środowisko antywirusowe.

Twórcy rozwiązań bezpieczeństwa wykorzystują emulację, aby sprawdzić, czy określone programy są szkodliwe, bez narażania komputera na ryzyko infekcji. W tym celu analizowany plik uruchamiany jest w wyizolowanym wirtualnym środowisku, które wykorzystuje narzędzia programowe do emulowania działania sprzętu i systemu operacyjnego. W trybie tym rozwiązanie bezpieczeństwa może analizować operacje wykonane przez dany program i wykryć szkodliwy kod bez stwarzania jakiegokolwiek zagrożenia dla komputera użytkownika.

Cyberprzestępcy wykorzystują różne techniki w celu zablokowania i utrudnienia analizy swojego szkodliwego oprogramowania w zwirtualizowanych środowiskach. Wiele z tych technik opiera się na określonych problemach związanych z implementacją emulatora: zwykle odtwarzają one funkcjonalność systemu operacyjnego tylko do pewnego stopnia. Takie uproszczenie pomaga poprawić wydajność i oszczędzić zasoby, z drugiej strony jednak sprawia, że system bezpieczeństwa jest podatny na różne techniki obchodzenia emulacji. Cyberprzestępcy mogą tak zaprojektować swoje szkodliwe oprogramowanie, aby sprawdzało, czy zostało uruchomione w emulatorze. W przypadku wykrycia emulacji szkodliwe oprogramowanie może wstrzymać wszelką swoją szkodliwą aktywność, zwiększając w ten sposób szanse na uniknięcie wykrycia przez rozwiązanie bezpieczeństwa.

Jedna z technik obchodzenia emulacji działa w następujący sposób: szkodliwe oprogramowanie wywołuje funkcję systemową, która z kolei wywołuje kilka innych, pośrednich poleceń. Gdy program jest wykonywany w emulatorze, odtwarzane są tylko niektóre wywołania w tym łańcuchu. Technika obchodzenia emulacji opiera się na wykrywaniu braku wywołań funkcji, które byłyby obecne w realnym systemie operacyjnym.

Opatentowany przez Kaspersky Lab system nie zachowuje się jak konwencjonalne emulatory: odtwarza wszystkie wywołania funkcji, w tym funkcje jądra systemu operacyjnego, które wykonują takie operacje jak odczytywanie i zapisywanie pliku. Do pewnego momentu działanie tej technologii przebiega tak samo jak w przypadku realnego systemu operacyjnego, dlatego większość technik obchodzenia emulacji wykorzystywanych przez twórców szkodliwego oprogramowania traci swoją skuteczność. W efekcie szkodliwe oprogramowanie uznaje środowisko, w którym zostało uruchomione, jako realne a nie zwirtualizowane i kontynuuje swoje działanie, co pozwala na skuteczne wykrycie i zneutralizowanie zagrożenia.

"Koncepcja, na której opiera się nasza nowa technologia, polega na 'przekonaniu' szkodliwego oprogramowania, że działa w realnym systemie. W ten sposób zagrożenie nie będzie miało powodu, by ukrywać swoją szkodliwą funkcjonalność. Opatentowana technologia podniesie do nowego poziomu jakość wykrywania oferowaną przez nasze rozwiązania bezpieczeństwa" - skomentował Siergiej Below, główny specjalista ds. bezpieczeństwa w Kaspersky Lab oraz twórca nowej technologii.

Opisywana technologia udowodniła już swoją skuteczność w przeprowadzonych przez firmę wewnętrznych testach. W przyszłości zostanie zaimplementowana w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników domowych i korporacyjnych.

Kaspersky Lab może pochwalić się bogatym portfolio patentów, które w większości opisują technologie ochrony. W połowie 2013 r. firma posiadała 174 patentów wydanych w Stanach Zjednoczonych, Rosji, Unii Europejskiej i Chinach. W urzędach patentowych zostały złożone wnioski o kolejne 211 patentów.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.


 2013-11-15  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych