Kaspersky Lab informuje o uzyskaniu patentu na autorską technologię umożliwiającą wydajne i dokładne porównywanie elementów oprogramowania. Patent nr 8499167, przyznany przez urząd ds. patentów i znaków handlowych w Stanach Zjednoczonych, opisuje metodę porównywania plików, która w efektywny sposób określa stopień podobieństwa między nimi i skutecznie wykrywa szkodliwe obiekty, które zostały zmodyfikowane w celu obejścia ochrony zainstalowanej na komputerze.
Eksperci z Kaspersky Lab każdego dnia wykrywają około 200 000 nowych próbek szkodliwego oprogramowania; rok temu liczba ta wynosiła 125 000. Ze względu na szybki wzrost ilości niebezpiecznych aplikacji producenci rozwiązań antywirusowych przywiązują większą wagę do możliwości szybkiego i dokładnego wykrywania nowych zagrożeń.
Jednym ze sposobów sprawdzania obecności szkodliwego oprogramowania jest porównanie nieznanego pliku z istniejącą kolekcją szkodliwych obiektów. Jeżeli z porównania wynika, że nowy obiekt jest bardzo podobny do jednego lub kilku plików w kolekcji, w większości przypadków okazuje się on szkodliwy. Porównanie nowego pliku z kolekcją znanych próbek pomaga skutecznie zwalczać ogromną ilość szkodliwego oprogramowania, jakie pojawia się każdego dnia. Jednak sam mechanizm porównywania nie jest idealny.
Dwa pliki można porównać, wykorzystując znajomość ich struktury – metoda ta jest powszechnie wykorzystywana w branży antywirusowej. Niestety, cyberprzestępcy często zaśmiecają swoje pliki przypadkowymi danymi, co zmienia ich strukturę i sprawia, że nie wykazują żadnych podobieństw z próbkami szkodliwego oprogramowania w istniejących kolekcjach.
Jednocześnie często wykorzystuje się emulację w celu sprawdzenia, jak funkcjonuje nowy plik po uruchomieniu oraz czy w kolekcji szkodliwego oprogramowania znajdują się podobne wzorce. Metoda ta polega na uruchomieniu pliku w wirtualnym środowisku, w którym gromadzone są informacje o ich zachowaniu. Dane te są później porównywane z dostępnymi informacjami dotyczącymi zachowania szkodliwego oprogramowania. Jeżeli zostaną zidentyfikowane podobieństwa, plik zostanie uznany za szkodliwy. Jednak emulacja to stosunkowo długi proces, który pochłania dużo zasobów. Co więcej, niektóre szkodliwe programy potrafią rozpoznać, że są uruchamiane w środowisku wirtualnym, i natychmiast przerwać swoje działanie.
Eksperci z Kaspersky Lab uwzględnili wszystkie te fakty podczas rozwoju nowej technologii porównywania plików.
Teoria ciągów znaków
Nowo opatentowana technologia opiera się na koncepcji możliwości określenia funkcjonalności pliku na podstawie analizy zawartych w nim ciągów znaków jeszcze przed wykonaniem pliku. Ciągi znaków w pliku dostarczają informacji dotyczących tego, w jaki sposób plik zostanie wykonany w systemie operacyjnym (nazwy plików, klucze rejestru, odsyłacze). Na podstawie tych danych można stworzyć swego rodzaju „konspekt” pliku. W przeszłości praktyczna implementacja tej koncepcji wiązała się z jednym problemem: które ciągi znaków w pliku powinny być analizowane? Jak zidentyfikować te, które wskazują na to, że dany plik posiada szkodliwą funkcjonalność? W jaki sposób dokonać przeszukiwania, aby uzyskać wyniki w rozsądnym czasie przy minimalnym zużyciu zasobów?
Technologia opatentowana przez firmę Kaspersky Lab opisuje algorytm porównywania plików ciąg po ciągu w celu określenia podobieństwa między ich funkcjonalnościami. Gdy laboratorium antywirusowe otrzymuje nieznany plik, specjalny program analizuje zawarte w nim ciągi znaków, następnie odfiltrowuje na podstawie zestawu reguł te, które nie są istotne, i porównuje pozostałe ciągi z kolekcją szkodliwych plików analizowanych w podobny sposób.
–Tym, co wyróżnia naszą technologię, jest fakt, że potrafi szybko porównać ‘konspekt’ pliku z ogromną bazą szkodliwego oprogramowania i ‘wie’, gdzie szukać w pliku kluczowych elementów, których analiza może zapewnić wgląd w funkcjonalność potencjalnego zagrożenia – powiedział Aleksiej Malanow, ekspert ds. szkodliwego oprogramowania, Kaspersky Lab oraz twórca nowo opatentowanej technologii.
Chociaż technologia ta została opatentowana dopiero niedawno, eksperci z Kaspersky Lab stosują ją do wykrywania próbek szkodliwego oprogramowania w bieżących wersjach swoich produktów.