 Компания
«Лаборатория Касперского» запатентовала в США технологию, позволяющую
детектировать и удалять все, в том числе ранее неизвестные вредоносные
программы, установленные на компьютер пользователя в результате одного
и того же вирусного инцидента.
Современные вредоносные программы широко используют метод проникновения на компьютеры пользователей с помощью троянских
технологий. Загрузившись и установившись в систему, такой троянец
скачивает из интернета множество других вредоносных программ. Таким
образом на компьютере пользователя могут оказаться десятки различных
вредоносных кодов и их компонентов.
Часть из них могут оказаться новыми вредоносными программами с ещё не занесёнными в антивирусные
базы сигнатурами, либо неизвестными технологиями обхода детектирования.
Поэтому такое вредоносное ПО не обнаруживается антивирусными средствами
сразу же после заражения компьютера и может оставаться в системе ещё
некоторое время, проявляя свой деструктивный функционал.
Такая неполнота антивирусной защиты делает особо актуальной задачу
детектирования и удаления всех вредоносных программ и их компонентов,
загруженных и установленных на компьютер пользователя в результате
вирусного инцидента. Решить её можно используя новейшую технологию
«Лаборатории Касперского», разработанную Михаилом Павлющиком.
Патент на данную технологию зарегистрирован под номером 7 472 420
Патентным бюро США 30 декабря 2008 года. Описанные в патенте метод и
его реализация позволяют при обнаружении только одного вредоносного
компонента детектировать и удалять все вредоносные программы,
появившиеся в вычислительной системе в рамках одного и того же
вирусного инцидента, а также устанавливать источник инцидента и время
его возникновения.
Новая технология основана на протоколировании системных событий,
указывающих на возможность вирусного заражения (таких как изменение
исполняемых файлов и/или запись в системном регистре), и последующем
определении рамок вирусного инцидента по сделанным записям. Согласно
запатентованной технологии, при обнаружении вредоносного процесса или
файла запускается анализатор предшествующих событий, что позволяет
определять источник и время заражения. Затем система анализирует все
дочерние события, порождённые найденным источником, что дает
возможность детектировать все участвовавшие в инциденте вредоносные
программы, в том числе ранее неизвестные.
Кроме детектирования, новая технология обеспечивает удаление
зловредных кодов или постановку их на карантин, прерывание вредоносных
процессов, восстановление доверенных копий системных файлов из
резервного хранилища. Информация о вредоносных программах, обнаруженных
с помощью новейшего запатентованного метода, может быть мгновенно
отправлена антивирусным вендорам в целях ускорения их ответа на новые
угрозы. Определение источника и условий заражения полезно для
предотвращения подобных вирусных инцидентов в будущем, например, для
выявления и блокирования инфицированных сайтов, обнаружения и закрытия
уязвимостей программного обеспечения и т.д. Кроме того, восстановление
полной картины вирусного инцидента, её документирование могут стать
основой для успешного криминалистического анализа и доказательства вины
киберпреступника.
|
2 
