Программы предназначенные для выявления подозрительных действий в работе компьютера

С давних времен известно, что рано или поздно можно найти противоядие к любому яду. В компьютерном мире таким противоядием стали антивирусные программы — специальные программы для обнаружения, уничтожения и защиты от компьютерных вирусов. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические возможности, так и средства лечения от вирусов и восстановления данных.

Количество и разнообразие вирусов очень велико, поэтому, чтобы быстро и эффективно их обнаружить, антивирусная программа должна отвечать определенным требованиям:

стабильность и надежность работы являются определяющими параметрами, так как даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на компьютере, например, в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными;

Уничтожаем вирусы в компьютере программой, в честь героя древнегреческих мифов. Telamon Cleaner.

объем вирусной базы (количество обнаруживаемых программой вирусов). С учетом постоянного появления новых вирусов база должна регулярно обновляться. Действительно, что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение «чистоты» компьютера; скорость работы программы является одним из основных требований к любой антивирусной программе, так как огромный поток информации требует быстрой проверки файлов и дисков компьютера;

наличие дополнительных возможностей типа алгоритмов определения неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести умение работать с файлами различных типов (архивы, документы) и возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Также немаловажным является наличие резидентного фильтра, осуществляющего проверку всех новых файлов «на лету», т.е. автоматически, по мере их записи на диск;

многоплатформенность (наличие версий программы под различные операционные системы). Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

Антивирусные программы выпускает ряд компаний. Наиболее распространены следующие антивирусные программы:

Kaspersky Anti-Virus (производитель «Лаборатория Касперского» — с 1994 г.);

Dr. Web (производитель «Диалог-Наука» — с 1994 г.);

McAfee VirusScan (производитель McAfee Associates);

Norton AntiVirus (производитель Symantec).

Ранее также были популярны другие программы:

AidsTest (производитель Д.Н. Лозинский — с 1988 г.);

ADinf (производитель Д.Ю. Мостовой — с 1991 г.);

Dr Solomon’s AntiVirus (производитель Dr Solomon’s Software); Microsoft AntiVirus (производитель Microsoft).

Разнообразие существующих антивирусных программ привело к необходимости их классификации в зависимости от принципов работы. Таким образом, выделяют пять групп подобных программ.

РЕШЕНО: Нет приложения сопоставленного с этим файлом для выполнения этого действия (для папок)

Детекторы обеспечивают обнаружение вирусов в оперативной памяти и на внешних носителях, выдавая соответствующие сообщения. Они выполняют поиск известных вирусов по их сигнатуре (повторяюшемуся участку кода) и позволяют обнаруживать только известные вирусы (в этом их недостаток).

Доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файлов тело вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов.

Постоянное появление новых вирусов приводит к быстрому устареванию детекторов и докторов, поэтому требуется регулярное обновление их версий.

Фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий в работе компьютера, характерных для вирусов:

• • запись в загрузочные сектора диска;
• • прямая запись на диск по абсолютному адресу;
• • изменение атрибутов файлов;
• • попытка коррекции исполняемых файлов (.ехе, .сот);
• • загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уничтожения вирусов требуется применять другие программы, например фаги. К недостаткам сторожей можно отнести существенное замедление работы компьютера, так как они отслеживают любые действия компьютера, перехватывая все запросы к операционной системе на выполнение «подозрительных» действий.

Ревизоры (инспекторы) запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются состояние загрузочного сектора и таблицы размещения файлов, длина, дата и время модификации файлов, контрольная сумма файла и другие параметры.

Ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

Вакцинаторы (иммунизаторы) предотвращают заражение файлов только известными вирусами. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время вакцины редко применяются, так как имеют ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Наиболее распространены программы доктора и фильтры. А современные антивирусные пакеты включают все необходимые компоненты для противостояния любым вирусам. Например, «Антивирус Касперского» (Kaspersky Anti-Virus) содержит программу-фильтр Kaspersky Anti-Virus Monitor, доктор Kaspersky Anti-Virus Scanner и ревизор Kaspersky Anti-Virus Inspector.

Несмотря на широкую распространенность антивирусных программ, вирусы продолжают «плодиться». Чтобы справиться с ними, необходимо создавать более универсальные и качественно-новые антивирусные программы, которые будут включать в себя все положительные качества своих предшественников. Защищенность от вирусов зависит и от грамотности пользователя. Применение вкупе всех видов защит позволит достигнуть высокой безопасности компьютера и, соответственно, информации.

Источник: bstudy.net

Программы предназначенные для выявления подозрительных действий в работе компьютера

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры (инспектора)

Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.

Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).

Дело в том, что ряд вирусов, внедряясь в файлы (то есть дописываясь в конец или в начало файла), подменяют записи об этом файле в таблицах размещения файлов нашей операционной системы. Посмотришь из «виндов» — вроде бы ничего не изменилось: ни длина файла, ни дата, ни время создания, ни даже контрольный код (CRC). Как говорится, по бумагам все сходится, а хищение налицо.

Ревизоры (инспектора) запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы.

При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры (инспектора) имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров (инспекторов) относится широко распространенная в России программа Adinf.

Запускать ревизора (инспектора) надо тогда, когда компьютер еще не заражен, чтобы он мог создать в корневой директории каждого диска по таблице — файлу kavitab(бyквa_диска).dat (например, kavitabc.dat), со всей необходимой информацией о файлах, которые имеются на этом диске, а также о его загрузочной области. На создание каждой таблицы у нас будет запрошено разрешение.

При следующих запусках ревизор (инспектор) будет просматривать диски, сравнивая данные о каждом файле со своими записями. Скажем, размер файла изменился, а дата и время остались прежними. Странно? Странно! У нескольких файлов изменилась длина, причем на одинаковую величину, как будто в каждый из файлов было добавлено нечто постороннее. Странно?

Еще бы! Или в реестре Windows произошли изменения, хотя вы ничего нового в систему не добавляли. Подозрительно? В высшей степени подозрительно! Ну, а когда инспектор сообщает о странных изменениях в загрузочном секторе, то это просто караул! (Если, конечно, вы не установили со времени предыдущей проверки новую операционную систему.)

В такой ситуации ревизор (инспектор) сможет использовать свой собственный лечащий модуль, который восстановит испорченный вирусом файл в 95 случаях из 100 (по крайней мере, так обещают авторы). Для восстановления файлов инспектору даже не нужно ничего знать о конкретном типе вируса, достаточно воспользоваться данными о файлах, сохраненными в таблицах.

Кроме того, в случае необходимости может быть вызван антивирусный сканер.

Программы — фильтры (мониторы)

Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE;

2. изменение атрибутов файла;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.

Вакцины или иммунизаторы

Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Сканер

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса.

Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

Источник: studbooks.net

Мониторинг подозрительной активности

Статистика 2016 года говорит о том, что мы живем в эпоху бурного развития вирусов-шифровальщиков. По данным компании Kaspersky Lab (см. рисунок), за это время возникло 62 новых семейства программ-вымогателей, количество новых модификаций вымогателей выросло в 11 раз, с 2900 в период с января по март до 32 091 в июле-сентябре. С января по конец сентября число атак на компании увеличилось в три раза: если в январе атаки проводились в среднем каждые две минуты, то в сентябре — уже каждые 40 секунд. Интенсивность атак на пользователей удвоилась: атаки предпринимались в среднем раз в 20 секунд в начале периода и раз в 10 секунд в конце. Каждое пятое предприятие малого или среднего бизнеса, заплатившее выкуп, так и не получило доступа к своим данным.

Рисунок. Статистика Kaspersky Lab за 2016 год

В 2016 году увеличилось число вымогателей, написанных на языках сценариев, а также готовых решений «вымогатели как услуга» для тех, у кого нет нужных навыков, ресурсов или времени. В то же время, в 2016 году в мире началось организованное противостояние вымогателям.

В июле был запущен проект под лозунгом «Нет вымогателям», No More Ransom, объединивший усилия национальной полиции Нидерландов, Европола и компаний Intel Security и «Лаборатория Касперского»; в октябре к проекту присоединились еще 13 организаций. Помимо прочих результатов, в рамках проекта в Интернете было размещено несколько бесплатных утилит для расшифровки файлов; они уже помогли тысячам жертв восстановить данные, зашифрованные программами-вымогателями.

Однако следует понимать, что куда более важно не допустить заражения. «Классический» метод идентификации вредоносных программ, основанный на сигнатурах, увы, больше не обеспечивает эффективную защиту от вредоносов. Только по данным Kaspersky Lab, приблизительно 323 000 новых образцов вредоносных программ появляются в «диком виде», для них изначально нет никаких сигнатур. Для успешной борьбы с неизвестными вредоносами применяется целый ряд подходов, использующих методы математической эвристики и машинного обучения. Один их самых эффективных среди них — наблюдение за поведением приложений и выявление подозрительных действий, указывающих на работу в системе вредоносной программы.

Контроль системных событий

Контроль системных событий предоставляет самую полную информацию о системе в целом и предусматривает широкие возможности для восстановления операционных параметров компьютера. Фактически с помощью контроля системных событий отслеживаются все важные события, происходящие в системе, в том числе изменение файлов операционной системы и конфигурации, обмен данными по сети и т. д. События регистрируются и анализируются и, если существует доказательство того, что программа выполняет операции, характерные для вредоносов, они могут блокироваться и откатываться, предотвращая компрометацию ценных данных и восстанавливая работоспособность системы.

Таким образом, контроль системных событий универсально эффективен против любого программного обеспечения, проявляющего признаки вредоносной деятельности в системе. Это означает, что данная функция может использоваться для надежного обнаружения новых вредоносных программ. Однако гораздо более высокий уровень защиты обеспечивает мониторинг активности.

Мониторинг активности

Впервые в потребительских решениях компании Kaspersky Lab контроль событий в базовой системе стал доступен в 2009 году. Развитие данной службы привело к появлению компонента «Мониторинг активности» (в корпоративной версии принято название «Мониторинг системы»).

Мониторинг активности сканирует соответствующие данные системных событий, такие как создание и модификация файлов, работа системных служб, изменения системного реестра и т. д. Кроме того, Мониторинг активности обрабатывает информацию об операциях с символьными ссылками, указывающими на файлы или каталоги, модификацию главной загрузочной записи, содержащей загрузчик для установленной операционной системы. Процесс сбора данных автоматизирован и не требует взаимодействия с пользователем.

Следует учесть, что компонент «Мониторинг активности» может быть полностью обновлен. Списки событий, механизмы их контроля и эвристические алгоритмы могут быть скорректированы по мере необходимости. Это обеспечивает гибкость и своевременную адаптацию к постоянно меняющимся угрозам и конфигурациям компьютерной системы. Обновление не требует никаких действий со стороны пользователя, за исключением случая, когда обновление системы защиты целенаправленно осуществляется вручную.

Задачи и принципы работы

Мониторинг активности выполняет несколько функций.

• Ведет журнал активности программ.
• Выявляет вредоносные программы и блокирует их действия.
• Выполняет отмену действий вредоносных программ.

Главной задачей является определение вредоносных программ. Для этого Мониторинг системы ведет учет действий программ и сравнивает их с шаблонами опасного поведения — Behavior Stream Signatures (BSS). База BSS обновляема, но обновления для нее выходят достаточно редко, и эффективность Мониторинга активности практически не зависит от регулярности обновления баз.

Сбор данных об активности программ для Мониторинга активности выполняется разными компонентами. Основным источником информации является драйвер перехвата файловых операций klif.sys (тот же, что используется файловым антивирусом). Драйвер передает информацию о файловых операциях и изменениях, внесенных в системный реестр. Вместе с тем стоит отметить, что это далеко не единственный поставщик информации и его функции не ограничиваются отслеживанием файловых операций. Сетевой экран предоставляет информацию о сетевой активности программ.

Настройки

Настройки в корпоративном антивирусе немногочисленны и, по сути, соответствуют включению или выключению перечисленных выше задач компонента (экран 1).

• Включить защиту от эксплойтов. Включение защиты от широкого класса атак, использующих уязвимости в приложениях (эксплойтов), целью которых является получение прав администратора в системе или скрытое выполнение кода. В уязвимую программу или службу передаются некорректные параметры, обработка которых приводит к тому, что часть параметров уязвимая программа выполняет как код. В частности, с помощью таких атак на системные службы (которые выполняются с правами локальной системы) можно получить права администратора на компьютере или заставить легальный процесс выполнять несвойственные ему действия. Включение данного параметра подразумевает слежение за операциями запуска и, если потенциально уязвимая программа выполняет запуск другой программы не по инициативе пользователя, такой запуск блокируется.
• Не контролировать активность программ, имеющих цифровую подпись, то есть не вести журнал событий для программ, имеющих действительную цифровую подпись или внесенных в категорию «Доверенные» в KSN.
• Выполнять откат действий вредоносных программ при лечении, то есть выполнять отмену действий приложений, которые удаляются файловым антивирусом и задачами поиска или помещаются Мониторингом системы в карантин. Отмена означает отмену изменений в файловой системе (создание, перемещение, переименование файлов) и разделах реестра (удаление созданных вредоносной программой параметров). Кроме того, для небольшой группы файлов и разделов реестра делается снимок состояния на момент старта системы, что позволяет возвращаться к сохраненной версии, если вирус вносил изменения в эти файлы и ключи. К таким особым объектам относятся файлы hosts, boot.ini и разделы реестра, отвечающие за запуск программ и служб при старте системы. Эта же функция восстанавливает файлы, зашифрованные вредоносными шифраторами (так называемыми «вредоносами-шифровальщиками»).

Экран 1. Мониторинг системы

Исключения

В случае обнаружения опасной активности в действиях заведомо безопасных программ администратор может настроить исключения для каждого из слоев защиты. Они настраиваются в секции «Исключения и доверенная зона» и их можно задавать двумя способами.

• Исключения из проверки — отключает обнаружение любой вредоносной активности в действиях программы.
• Доверенные программы — позволяет указать, какой именно тип активности должен быть разрешен программе. В таком случае при обнаружении опасных действий другого типа Мониторинг системы будет реагировать как обычно. Чтобы исключить программу из проверки Мониторингом системы, отметьте для нее параметры:

— «не контролировать активность программы» — не реагировать на действия самой программы;

— «не контролировать активность дочерних программ» — не реагировать на действия дочерних программ указанной программы.

Мониторинг активности в персональных версиях продуктов Kaspersky Lab

Мониторинг активности в Kaspersky Internet Security 2017 собирает данные о действиях программ на вашем компьютере и предоставляет эту информацию другим компонентам для эффективной защиты (экран 2). Мониторинг активности включает следующие технологии:

• Защита от программ-эксплойтов. Блокирует вредоносные программы, которые используют уязвимые места в программном обеспечении.
• Контроль активности программ. При обнаружении программы с подозрительной активностью выполняет действие, указанное в настройках.
• Защита от программ блокировки экрана. При нажатии заданной комбинации клавиш (Ctrl+Alt+Shift+F4) Kaspersky Internet Security 2017 распознает и удалит программу, высвечивающую на экране блокирующий работу баннер.
• Откат действий вредоносной программы. Информация о подозрительных действиях в системе собирается не только в рамках текущей сессии работы, но и за время предыдущих сессий. Это позволяет выполнить отмену всех совершенных программой действий, если программа будет признана вредоносной.
• Защита от программ-крипторов. Крипторы — это вирусы, которые шифруют данные и требуют выкуп за возврат файлов в исходное состояние. Если программа-криптор пытается зашифровать файл, антивирус автоматически создает резервную копию данных. Если файл будет зашифрован, антивирус восстановит его из резервной копии.

Экран 2. Параметры Мониторинга активности в KIS 2017

Защита от программ-крипторов имеет следующие особенности:

• Резервное копирование выполняется в системную папку хранения временных файлов (Temp). Следите, чтобы диск, на котором находится папка (обычно это диск C), был свободен хотя бы на 10-15%.
• Так как емкость хранилища ограничена, файлы ротируются. По мере заполнения старые файлы удаляются, а новые записываются. После завершения работы Kaspersky Internet Security 2017 или выключения Мониторинга активности резервные копии данных удаляются. При некорректном завершении работы программы копии не будут удалены. При необходимости вы можете удалить их вручную, очистив папку хранения временных файлов (Temp).

Противодействие шифровальщикам (Cryptomalware)

Увеличение количества атак с применением вредоносных программ типа cryptomalware, шифрующих пользовательские данные и требующих выкуп для получения ключа расшифровки, привело к необходимости в контрмерах и соответствующей технологии. Данная технология и была реализована в Мониторинге активности. Фактически она нивелирует последствия криптоатак, ведь локальные защищенные резервные копии пользовательских файлов данных делаются сразу же после их открытия подозрительной программой. Потому нет необходимости дешифровать любые затронутые данные — они будут восстановлены из резервных копий.

Соответственно, даже если недавно созданный вредонос типа cryptomalware будет использовать неизвестные ранее уязвимости, или уязвимости «нулевого дня» (экран 3), и сумеет избежать всех систем защиты, он не нанесет ущерба, потому что любые изменения отменяются автоматически (экраны 4 и 5). Другими словами, подсистема контрмер против cryptomalware бережно хранит данные пользователя и останавливает косвенное финансирование киберпреступников, потому что выплата выкупа только призывает их продолжать. Но, помимо необходимости защиты от криптоатак, существуют еще и блокировщики, так что следующей технологией будет защита от них.

Экран 3. Kaspersky Lab System Watcher обнаруживает, что приложение вносит подозрительные изменения в файлы

Экран 4. Приложение идентифицировано как вредоносное, и соответствующий файл удален

Экран 5. Kaspersky Lab System Watcher заменяет зашифрованные файлы резервными копиями

Защита от Screen Lockers

Screen Lockers — другой тип программного обеспечения вирусов-вымогателей; это программы, блокирующие доступ пользователя к компьютерным функциям с (предположительно) неподвижным баннером, требующим выкупа. У службы «Мониторинг активности» есть встроенная защита от данного типа вредоносного программного обеспеченя. Это установленное сочетание клавиш (в персональной версии Ctrl+Alt+Shift+F4), закрывающее блокирующую программу вручную. И служба, и комбинация клавиш установлены по умолчанию.

Automatic Exploit Prevention

Другая технология, используемая в Мониторинге активности, это Automatic Exploit Prevention (AEP), созданная для предотвращения заражения вредоносной программой, использующей программные уязвимости, включая неизвестные ранее уязвимости, или уязвимости «нулевого дня». Данный модуль управляет различными приложениями и запускает проверки при попытке запуска подозрительного кода. Стоит отметить применение технологии Forced Address Space Layout Randomization, препятствующее определению местоположения кода в памяти и потому предотвращающее использование уязвимостей.

Как работает технология AEP? Она разработана в результате глубокого анализа поведения вредоносных программ. Фактически данная технология может различить характерные для использования модели поведения и блокировать вредоносные программы.

Технология АЕР предназначена в первую очередь для контроля наиболее часто атакуемых приложений, таких как Adobe Reader, Internet Explorer и Microsoft Office. Любая попытка запуска необычных исполняемых файлов или выполнения нестандартного кода инициирует дополнительные проверки безопасности. Иногда эти действия могу быть законны; например, Adobe Reader может запустить исполняемый файл для проверки на обновления.

То, как запускается приложение или выполняется код, а главное, что происходит перед этим, может многое рассказать о поведении. Определенное поведение прямо указывает на злонамеренную деятельность. В свою очередь, технология АЕР может это отследить и обнаружить попытку запустить код.

Признаки типичного поведения могут обнаружить попытки использовать уязвимость, даже если используется уязвимость «нулевого дня». Это означает, что АЕР не должен знать точный характер уязвимости, используемой для того, чтобы обнаружить вредоносную деятельность. По умолчанию AEP блокирует запуск любого подозрительного кода.

Управляющий модуль приложений JAVA

Критической проблемой безопасности всегда была защита от уязвимостей платформы Java. Для обнаружения атак с использованием Java в Мониторинге активности предназначен специальный модуль Java2 SW, который имеет прямой доступ к платформе и добавляет дополнительный элемент безопасности каждой JVM. Java2 SW анализирует код и в случае выявления подозрительной деятельности останавливает его выполнение.

Отмена нежелательных изменений в системе

В случае обнаружения заражения Мониторинг активности инициирует возврат системы к ее прежним, безопасным параметрам. Данная технология работает с созданными и измененными исполняемыми файлами, модификациями MBR, ключевыми файлами Windows и ключами реестра.

Анализ вредоносных файлов до запуска очень эффективен, но не всегда возможен, поскольку злоумышленники учатся обходить статический анализ. Для таких случаев необходим поведенческий мониторинг, который также реализован в продуктах Kaspersky Lab.

Источник: www.osp.ru