O tehnologie pentru detectarea fisierelor malware arhivate a fost patentata. Vezi cum functioneaza

Un sistem care ajuta la detectarea fisierelor malware modificate cu ajutorul programelor de arhivare sau de criptare neidentificate pana in prezent de catre cercetatori, a fost patentat in Statele Unite ale Americii de Kaspersky Lab

Tehnologia este deja integrata in solutiile de securitate ale companiei, atat pentru utilizatori individuali, cat si pentru companii.

Programele de arhivare si programele de criptare (care pot fi considerate a fi tot un tip de utilitare de arhivare) creeaza un fisier care include o versiune a programului initial si codul necesar pentru a-l dezarhiva sau decripta.

Infractorii folosesc aceste instrumente pentru a modifica fisierele malware

Infractorii cibernetici folosesc aceste instrumente pentru a modifica fisierele malware, cu scopul de a face mai dificila detectarea acestora de catre solutiile de securitate. Aceasta tehnica le permite infractorilor sa modifice fisierele binare ale unui program pentru a se sustrage de la scanarea efectuata de solutiile de securitate.

Chiar daca baza de date antivirus a unui program de securitate cuprinde deja semnatura pentru mostra de malware initiala, acesta va fi in imposibilitatea de a detecta versiunea comprimata a programului daunator.

Programele modificate cu ajutorul utilitarelor de arhivare populare pot fi detectate cu ajutorul unor reguli euristice, insa in cazul in care atacatorii si-au construit propriul program de arhivare, cu ajutorul unui algoritm unic, detectarea amenintarii devine o sarcina mult mai dificila.

Tehnologia Kaspersky Lab nou-patentata asigura o metoda de analiza a fisierelor in urma careia este creat un profil diferit pentru fiecare utilitar de arhivare nou, oferind o descriere generala a comportamentului acestuia. Ulterior, profilul permite solutiei de securitate sa detecteze malware-ul modificat cu ajutorul unui program de arhivare, bazandu-se pe operatiunile pe care acesta le efectueaza atunci cand este lansat.

Cum functioneaza tehnologia

Tehnologia functioneaza dupa cum urmeaza: initial, solutia antivirus stabileste - cu ajutorul unui set propriu de reguli - daca fisierul suspect analizat a fost modificat cu ajutorul unui program de arhivare necunoscut; apoi, solutia apeleaza la tehnologia patentata de Kaspersky Lab. La randul sau, aceasta tehnologie simuleaza executarea fisierului scanat si inregistreaza toate operatiunile efectuate de codul responsabil pentru decriptarea si lansarea programului malware.

Aceste operatiuni sunt selectate si sunt supuse analizei pentru a crea tipare care descriu comportamentul arhivatorului. In etapa finala, pe baza datelor generate, este creat un profil, care poate fi utilizat ulterior pentru a detecta alte fisiere modificate care folosesc acelasi program de arhivare.

"Daca in trecut analiza programelor de arhivare era, in general, nepractica, aceasta noua tehnologie face posibila analizarea fisierelor mult mai in detaliu si, drept urmare, imbunatateste calitatea protectiei de care beneficiaza utilizatorii", a declarat Maxim Golovkin, expert malware in cadrul Kaspersky Lab si autorul tehnologiei nou patentate. "In plus, aceasta tehnologie ofera o metoda de descriere a comportamentului unui program e arhivare proaspat descoperit, astfel incat poate fi utilizata de catre o solutie de securitate, ramanand, in acelasi timp, inteligibila pentru analisti", a comentat Maxim Golovkin.