Kaspersky Lab opatentował technologię, która potrafi wykrywać podstępne działanie bootkitów oraz implementować odpowiednie środki ochrony. Technologia ta została stworzona z myślą o zwalczaniu jednego z najgroźniejszych obecnie zagrożeń komputerowych, które uruchamiają się bez wiedzy użytkownika poprzez załadowanie się przed systemem operacyjnym i aplikacjami antywirusowymi.
Najważniejsze fakty w skrócie
- Nowy patent opisuje technologię, która identyfikuje nieznane szkodliwe oprogramowanie poprzez emulowanie procesu uruchamiania komputera.
- Technologia ta jest skutecznie wykorzystywana przez produkty Kaspersky Lab, takie jak Kaspersky Internet Security 2013, Kaspersky Endpoint Security 8 for Windows oraz Kaspersky PURE 2.0.
- Twórcami są eksperci z Kaspersky Lab: Jurij Parszin oraz Władysław Pintijski.
- Łącznie Kaspersky Lab posiada 128 patentów wydanych w Stanach Zjednoczonych, Rosji, Chinach oraz państwach europejskich.
Opis patentu
Rosyjski patent nr 2472215 wydany dla Kaspersky Lab opisuje metodę służącą do identyfikowania nieznanego szkodliwego oprogramowania poprzez emulowanie procesu uruchamiania komputera. W przypadku wykrycia jakichkolwiek podejrzanych zmian w Master Boot Record (MBR) dysku twardego, technologia ta zbiera dane z sektorów dysku uczestniczących w procesie uruchamiania, umieszcza je w specjalnym kontenerze, który zapisuje parametry fizyczne dysku w celu dokładnej emulacji, a następnie wysyła kontener do analizy firmie Kaspersky Lab. Eksperci firmy odtwarzają proces uruchamiania komputera, analizują zawartość kontenera i w przypadku wykrycia nieznanego zagrożenia tworzą dla niego sygnatury, wydobywają pierwotny rekord rozruchowy z danych zawartych w kontenerze, aby przywrócić działanie systemu oraz podjąć inne niezbędne działania w celu zablokowania bootkita.
Ponadto, nowo opatentowana technologia skutecznie zapobiega próbom nadpisania sektora MBR poprzez przechwytywanie wszystkich prób dostępu oraz skanowanie dysku twardego przy użyciu znanych sygnatur zagrożeń. W przypadku wykrycia jakiejkolwiek podejrzanej aktywności, technologia ta blokuje dostęp do MBR-a, a szkodliwy plik lub dane są usuwane lub poddawane kwarantannie. Tym samym technologia opracowana przez Kaspersky Lab nie tylko szybko i efektywnie czyści komputery zainfekowane bootkitami, ale również zapobiega potencjalnym infekcjom w przyszłości.
– Ponad rok zajęło naszej firmie opatentowanie unikatowej technologii wykrywania bootkitów – komentuje Nikita Szwecow, zastępca dyrektora ds. badań nad zagrożeniami, Kaspersky Lab. -W ciągu tego czasu Kaspersky Lab włączył tę technologię do wielu swoich produktów dla użytkowników indywidualnych oraz korporacyjnych, zwiększając oferowaną przez nie ochronę. W szczególności, opatentowana przez nas niedawno technologia odpowiada za bardzo wysokie wyniki, jakie uzyskujemy w testach organizowanych przez laboratorium badawcze AV-Test, które oceniają poziom wykrywania i usuwania ukrytego szkodliwego oprogramowania.