ES2257643T3 - Deteccion selectiva de codigos informaticos malignos. - Google Patents

Deteccion selectiva de codigos informaticos malignos.

Info

Publication number
ES2257643T3
ES2257643T3 ES03256152T ES03256152T ES2257643T3 ES 2257643 T3 ES2257643 T3 ES 2257643T3 ES 03256152 T ES03256152 T ES 03256152T ES 03256152 T ES03256152 T ES 03256152T ES 2257643 T3 ES2257643 T3 ES 2257643T3
Authority
ES
Spain
Prior art keywords
file
version
module
detection
engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03256152T
Other languages
English (en)
Inventor
Carey Nachenberg
Peter Szor
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gen Digital Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Application granted granted Critical
Publication of ES2257643T3 publication Critical patent/ES2257643T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Un procedimiento para operar un sistema (205, 215) para detectar la infección de un archivo informático (340) por uno cualquiera de una serie de agentes atacantes, el procedimiento comprende los pasos de: generar (150) una nueva función unívoca de una región crítica de objetivo viral del archivo y para cada agente atacante realizar los paso de: comparar (540) la nueva función unívoca de la región crítica de objetivo viral con una función unívoca previamente generada de la región crítica de objetivo viral; determinar (535) si el archivo ha sido explorado para buscar una infección por el agente atacante con la versión más reciente de un módulo (425) de retención respectivo; y determinar (542) que el archivo no ha sido infectado por el agente atacante cuando la nueva función unívoca y la función unívoca previamente generada son idénticas y se determina que el archivo ha sido explorado con la versión más reciente del módulo de detección.

Description

Detención selectiva de códigos informáticos malignos.
Esta invención se refiere de forma general a la detección de la presencia de código maligno en archivos informáticos y más particularmente a la mejora y del rendimiento del procedimiento de detección de código maligno.
Durante la breve historia de los ordenadores, los administradores de sistemas y los usuarios se han viso acosados por agentes atacantes, tales como virus, gusanos y caballos de Troya, que pueden estar diseñados para inutilizar sistemas informáticos centrales y propagarse a los sistemas conectados.
En años recientes, dos desarrollos han incrementado la amenaza planteada por estos agentes atacantes. En primer lugar, la mayor dependencia de los ordenadores para realizar tareas comerciales críticas ha incrementado el coste económico asociado con el período de inactividad del sistema. En segundo lugar, la mayor conectividad entre ordenadores ha hecho posible que los agentes atacantes se extiendan a un gran número de sistemas en cuestión de horas.
Los agentes atacantes pueden infectar un sistema sustituyendo el código ejecutable almacenado en los archivos ya existentes. Cuando el sistema intenta ejecutar el código almacenado en esos archivos, ejecuta en cambio el código maligno insertado por el agente atacante, permitiendo que el agente atacante consiga el control del sistema. Utilidades de análisis de virus, tales como el antivirus Norton, producido por Symantec Corporation de Cupertino, California, permiten que el usuario determine si el archivo que contiene código ejecutable ha sido infectado con código maligno.
Tradicionalmente, estas utilidades habían sido capaces de detectar virus verificando secciones de código sospechosas en posiciones designadas o buscando otras características fácilmente detectables. Estos procedimientos pueden realizarse rápidamente, con poca carga para los recursos del sistema.
Sin embargo, a medida que los agentes atacantes se van haciendo más sofisticados, las utilidades de análisis necesitan realizar comprobaciones incluso más complicadas para detectar la presencia de código maligno. Por ejemplo, un código de finalidad específica puede tener que examinar amplias partes de un archivo o realizar técnicas de emulación complicadas para detectar la presencia de virus.
Estas técnicas a menudo se realizan en serie y son extremadamente intensas en tiempo y recursos. La optimización de estas rutinas lo suficiente como para evitar que se vuelvan consumidoras inaceptables de tiempo cuando se aplican a un gran número de archivos es extremadamente difícil a medida que los agentes atacantes crecen en número y complejidad. Lo que se necesita es una forma de mejorar la velocidad y fiabilidad de las técnicas de detección.
El documento WO 00/28420 describe la exploración de un archivo con un módulo antivirus y el almacenamiento, en un archivo de sectores críticos, de una función unívoca para cada sector explorado, la fecha de la actualización más reciente del módulo y el número de versión del módulo. El archivo de sectores críticos se transmite junto con el archivo a un ordenador receptor en donde se recalcula el valor de la función unívoca y se compara con el valor almacenado.
Aspectos de la presente invención se fijan en las reivindicaciones adjuntas independientes.
Realizaciones de la presente invención comprenden procedimientos, sistemas y medios informáticamente legibles para determinar si un archivo informático 340 ha ido infectado por un agente atacante. Un motor 205 de análisis genera una nueva función unívoca de la región crítica de objetivo viral del archivo 340 y lo compara con una función unívoca almacenado de la región crítica de objetivo viral. Para cada uno de los agentes atacantes, el motor 205 de análisis determina si el archivo 340 ha sido explorado por la versión más reciente de un módulo 425 de detección asociado con el agente atacante. Si las funciones unívocas son idénticas y el archivo 340 ha sido explorado por la versión más reciente del módulo 425 de detección, el motor 205 de análisis determina que el archivo 340 está libre de infección por el agente atacante.
Breve descripción de los dibujos
Estos y otros objetos y características más detallados y específicos de la presente invención se ponen de manifiesto más completamente en la siguiente memoria técnica, que hace referencia a los dibujos adjuntos en los cuales:
La figura 1 es un diagrama de bloques de alto nivel que ilustra un sistema informático 100 en el cual puede detectarse código maligno.
La figura 2 es un diagrama de bloques que ilustra una vista más próxima de la memoria 106 y del almacenamiento 108 del sistema informático 100 de la figura 1.
La figura 3 es un diagrama de bloques que ilustra una entrada 300 en una base 215 de datos histórica de exploraciones.
La figura 4 es un diagrama de bloques que ilustra una vista más próxima de un motor 205 de análisis.
La figura 5 es un diagrama de flujo que ilustra una realización preferida de la presente invención.
Descripción detallada de las realizaciones preferidas
Una realización permite determinar si un archivo 340 contiene código maligno revisando una función unívoca de una región crítica de objetivo viral
(CVTR).
Tal como aquí se utiliza, CVTR se refiere a una región de un archivo 340 que cambia inusualmente cuando el archivo 340 se infecta con código maligno. Las CVTR deben ser específicas para un archivo 340 y pueden incluir la cabecera del archivo ejecutable, la región circundante a un punto principal de entrada del programa, la sección de reubicación del archivo 340 o cualquier sección del archivo 340 que pudiera ser probablemente modificada por un agente atacante. Un archivo puede incluir múltiples CVTR, cada una de ellas asociadas con agentes atacantes particula-
res.
Tal como aquí se utiliza, el término "código maligno" se refiere a cualquier programa, módulo o trozo de código que penetra en un ordenador sin el conocimiento de un usuario autorizado y/o en contra de los deseos de un usuario autorizado. El término "agente atacante" incluye programas caballo de Troya, gusanos, virus y cualquier otro software insidioso que inserta código maligno dentro de un archivo 340. Un agente atacante puede incluir la habilidad de replicarse asimismo y comprometer otros sistemas informáticos. Tal como aquí se utilizan los términos "infectado" e "infección" se refieren al proceso de insertar código maligno en un archivo.
Una función unívoca, a partir de una entrada de tamaño variable genera una salida de tamaño fijo, que está substancialmente libre de colisiones. Normalmente, la salida es menor que la entrada. "Unívoca" significa que la salida es fácil de calcular a partir de la entrada pero computacionalmente inviable para calcular la entrada a partir de la salida. "Substancialmente libre de colisiones" significa que es muy difícil encontrar dos o más entradas que mediante la función unívoca den como resultado la misma salida. Ejemplo de funciones unívocas adecuadas utilizables en la realización son el MDS y la función CRC "Comprobación de redundancia cíclica".
La figura 1 es un diagrama de bloques de alto nivel que ilustra un sistema informático 100 sobre el cual se ha detectado código maligno. Se ilustra un procesador 102 acoplado a un bus 104. Hay más de un procesador 102. También acoplado al bus 104 se encuentran una memoria, un dispositivo 108 de almacenamiento, un teclado 110, un adaptador gráfico 112, un dispositivo 114 de señalización y un adaptador 116 de red. Una pantalla 118 se encuentra acoplada al adaptador gráfico 112.
El procesador 102 puede ser un procesador de funciones específicas o generales tal como un INTEL X86 o una unidad central de procesamiento (CPU) compatible con POWERPC. El dispositivo 108 de almacenamiento puede ser cualquier dispositivo capaz de contener una gran cantidad de datos, tal como un disco duro, una memoria de solo lectura en forma de disco compacto (CD-ROM), un DVD o cualquier otra forma fija o desmontable de dispositivo de almacenamiento.
La memoria 106 contiene instrucciones y datos utilizados por el procesador 102. El dispositivo 114 de señalización puede ser un ratón, una pantalla sensible al tacto o cualquier otro tipo de dispositivo de señalización y se utiliza en combinación con el teclado 110 para introducir datos en el sistema informático 100. Los tipos de hardware y software introducidos en el sistema informático 100 pueden variar.
La figura 2 es un diagrama de bloques que ilustra una vista más próxima de la memoria 106 y del almacenamiento 108 del sistema informático 100 de la figura 1. La memoria 106 incluye un motor 205 de análisis que detecta la presencia de código maligno en el sistema informático 100.
El motor 205 de exploración comprende un grupo de módulos que están almacenados en el almacenamiento 108 y cargados en la memoria 106. Tal como aquí se utiliza, el término módulo se refiere a la lógica de un programa informático y/o a cualquier hardware o circuitería utilizados para suministrar la funcionalidad atribuida al módulo. Un módulo puede estar implementado en hardware, software, firmware o cualquiera de sus combinaciones.
El motor 205 de exploración identifica los datos a revisar en busca de la presencia de agentes atacantes, comprueba la presencia de agentes atacantes y, si fuera necesario, responde a un agente atacante detectado. Típicamente, los datos a revisar residen en el dispositivo 108 de almacenamiento, en la memoria 106 o en ambos. El motor 205 de análisis, por lo tanto identifica archivos particulares 210 y/o posiciones de memoria a revisar en busca de agentes atacantes. Otros datos que pueden ser identificados por el motor 205 de análisis incluyen correos electrónicos recibidos o enviados por el sistema informático 100, datos en secuencia continua recibidos desde Internet, etc. El motor 205 de análisis incluye un identificador de versión que se actualiza siempre que se instala una nueva versión del motor 205 de análisis.
El almacenamiento 108 incluye archivos ejecutables 210 y una base 215 de datos de CVTR. Los archivos ejecutables 210 son archivos que contienen código ejecutable que son ejecutados por el sistema informático 100 para realizar diferentes tareas computacionales. La base 215 de datos de CVTR contiene información de análisis relativa a cada uno de los archivos ejecutables 210. La base 215 de datos CVTR almacena preferiblemente una región 310 de CVTR de cada uno de los archivos ejecutables 210, un identificador de archivo 305 e identificadores 320 que indican la versión más reciente del motor 205 de análisis aplicada al archivo 340.
La figura 3 es un diagrama de bloques que ilustra una entrada 300 en una base 215 de datos de CVTR. Cada entrada 300 almacena información relativa a un archivo 340. La entrada 300 incluye un identificador 305 de archivo, que identifica unívocamente el archivo 340 para el motor 205 de análisis. El identificador 305 de archivo puede ser el nombre del archivo o puede ser una función unívoca de una parte única del archivo 340. Usando una función unívoca como identificador, el motor 205 de análisis puede identificar archivos 210 incluso si se ha cambiado el nombre del archivo 340, de forma maliciosa o cualquier otra forma.
La entrada 300 incluye adicionalmente una sección 310 que almacena las funciones unívocas de una o más regiones de CVTR del archivo 340. Estas funciones unívocas son generadas cuando el motor 205 de análisis realiza una exploración compleja del archivo 340. La sección 310 puede incluir una función unívoca de una CVTR simple que se utiliza en la detección de todos los agentes atacantes. Alternativamente, la sección 310 puede almacenar múltiples funciones unívocas de CVTR, estando cada CVTR asociada con uno o más agentes atacantes. Los cambios detectados en una CVTR, tal como un incremento del campo de tamaño son indicativos de una posible infección por un agente atacante, pero puede que no sean útiles como indicadores del agente atacante específico. Sin embargo, la ausencia de cambios en cualquier CVTR es un indicador fiable de que un agente atacante no ha insertado código maligno en el archivo
340.
Cada entrada 300 también incluye una sección compleja de la versión del algoritmo de detección de virus (CVDAV) 320. Cada sección 320 de CVDAV almacena la versión del motor 205 de análisis que se utilizó la última vez para explorar el archivo 340. Cuando una versión más reciente del motor 205 de análisis realiza un análisis del archivo 340 para buscar cualquier agente atacante, la sección 320 de CVDAV se actualiza.
La figura 4 es un diagrama de bloques que ilustra una vista más próxima del motor 205 de análisis. El motor 205 de análisis incluye un módulo 410 de selección. El módulo 410 de selección determina qué pruebas a aplicar a los archivos ejecutables 210. El módulo 410 de selección está configurado para evaluar una entrada 300 de la base de datos para el archivo 340 y determinar qué módulos simples 420 de detección y qué módulos complejos 425 de detección se aplicarán al archivo 340.
Un generador 430 de funciones unívocas se configura para generar una función unívoca de una región de CVTR de un archivo 340. Las funciones unívocas generadas se comparan con las funciones unívocas 310 previamente generados almacenados en la base 215 de datos de CVTR para determinar si el archivo 340 ha cambiado.
El motor 205 de análisis incluye un grupo de módulos simples 420 de detección. Estos módulos 420 de detección comprueban típicamente áreas seleccionadas de un archivo 340 para buscar distintas secuencias de código u otra información de signatura. Alternativamente, los módulos 420 pueden revisar el archivo 340 para buscar características distintivas tal como un tamaño particular. Cada uno de los módulos simples 420 de detección se asocia con un agente atacante en particular. El motor 205 de análisis aplica típicamente múltiples módulos simples 420 de detección en paralelo.
EL motor 205 de análisis incluye adicionalmente un conjunto de módulos complejos 425 de detección. Estos módulos 425 de detección están configurados para realizar comprobaciones más avanzadas sobre un archivo 340 para determinar si está presente código maligno. Por ejemplo, un módulo complejo 425 de detección es útil para detectar la presencia de un virus polimórfico encriptado. Un virus polimórfico encriptado ("Virus polimórfico") incluye una rutina de desencriptado y un cuerpo viral encriptado. Para evitar las técnicas de detección comunes, los virus polimórficos utilizan rutinas de desencriptado que son funcionalmente las mismas para cada archivo infectado 340, pero tienen diferentes secuencias de instrucciones. De esta forma, el motor 205 de análisis no puede detectar un virus polimórfico aplicando uno de los módulos simples 420 de detección. En cambio, el motor 205 de análisis utiliza un módulo complejo 425 de detección que carga el archivo ejecutable 340 en un emulador de CPU basado en software que actúa como ordenador virtual simulado. Se permite que el archivo 340 se ejecute libremente dentro de este ordenador virtual. Si el archivo ejecutable 340 contiene un virus polimórfico, se deja que la rutina de desencriptado desencripte el cuerpo viral. El módulo 425 de detección detecta el virus buscando en la memoria virtual del ordenador virtual una signatura del cuerpo viral desencriptado. Los módulos complejos 425 de detección pueden también configurarse para detectar virus metamórficos, que, mientras que no están necesariamente encriptados, también varían las instrucciones almacenadas en el cuerpo viral, o cualquier otro tipo de agente atacante que no pueda ser detectado a través de una detección simple basada en la signatura.
Típicamente, cada uno de los módulos complejos 425 de detección se asocia con un agente atacante particular y está equipado para detectar su presencia, si bien en realizaciones alternativas pueden asociarse múltiples módulos 425 de detección con un agente atacante simple, o un módulo simple 425 de detección puede estar equipado para detectar múltiples agentes atacantes.
Cada uno de los módulos complejos 425 de detección incluye un número de versión indicativa de la última versión del motor 205 de análisis para contener una versión actualizada del módulo 425 de detección. Cuando se instala una nueva versión del motor 205 de análisis, las versiones más recientes de esos módulos 425 de detección que se han actualizado contienen el identificador de la versión del motor 205 de análisis recientemente instalada. Esta información permite que el motor 205 de análisis determine si un archivo 340 ha sido explorado con la versión más reciente de un módulo 425 de detección. El motor 205 de análisis revisa la entrada 320 de CVDAV asociada con un archivo 340 para determinar la última versión del motor 205 de análisis aplicada al archivo 340.
La figura 5 es un diagrama de flujo que ilustra una realización preferida de al invención. El proceso comienza con el motor 205 de análisis aplicando 505 los módulos simples 420 de detección al archivo 340 a explorar. Típicamente, este proceso se realiza hasta que se hayan aplicado todos lo módulos simples 420 de detección al archivo 340. Entonces el generador 430 de funciones unívocas lee el archivo 340 y calcula 510 una función unívoca de una región crítica de objetivo viral del archivo 340.
Después, el módulo 410 de selección determina 520 si la base 215 de datos de CVTR incluye una entrada 300 para el archivo actual 340. Si el archivo 340 no está en la base 215 de datos, el módulo 410 de selección aplica 525 un módulo complejo 425 de detección al archivo 340.
Si el archivo 340 aparece en la base 215 de datos, el módulo 410 de selección determina 535 si el archivo 340 ha sido explorado por la versión más reciente del módulo 425 de detección revisando la sección 320 de CVDAV de la entrada 300 que se corresponde con el archivo 340 en la base 215 de datos de CVTR para determinar la versión del motor 205 de análisis que se aplicó la última vez al archivo 340. El módulo 410 de selección revisa entonces el número de la versión del módulo complejo actual 425 de detección para determinar si la última versión del motor 205 de análisis contiene una actualización para el módulo 425 de detección. Si el número de versión del motor 205 de análisis que se aplicó la última vez al archivo 340 es igual o más alto que el número de la versión más reciente del motor 205 de análisis que contiene una actualización del módulo 425 de detección, el motor 205 de análisis determina que el archivo 340 ha sido explorado con la versión más reciente del módulo 425 de detección actual.
Si el módulo 410 de selección determina que el archivo 340 no ha sido explorado mediante la versión más reciente del módulo 425 de detección, el motor 205 de análisis aplica 525 el módulo complejo 425 de detección más reciente al archivo 340.
Si la sección 320 de la CVDAV indica que el archivo 340 se exploró con el módulo de detección actual, el módulo 410 de selección determina 540 si la CVTR ha cambiado comparando la función unívoca de la CVTR recientemente generada con la función unívoca 310 de la CVTR almacenado en la base 215 de datos. Si el módulo 410 de selección determina que la CTVR ha cambiado, el motor 205 de análisis aplica el módulo complejo 425 de detección al archivo 340. Si el módulo 410 de selección determina que la CVTR no ha cambiado, el módulo 410 de selección aprueba 542 el archivo como no infectado por el agente atacante actual. El proceso se repite 545 para cada nódulo complejo 425 de detección, hasta que o el archivo 340se haya revisado para cada uno de los agentes atacantes conocidos para el motor 205 de análisis.
Si se realiza 525 una exploración compleja sobre el archivo 340 para buscar cualquier agente atacante, el módulo 415 de actualización actualiza 548 la base 215 de datos de CVTR para reflejar cualquier cambio. El módulo 415 de actualización almacena la función unívoca de la CVTR recientemente generada en el campo 310 de función unívoca y almacena el número de versión actual del motor 205 de análisis en el campo 320 de la CVDAV. Si no existiese previamente ninguna entrada para el archivo 340, el módulo 415 de actualización crea una nueva entrada 300, almacena la función unívoca de CVTR recientemente generada en el campo 310 de función unívoca y almacena el número de versión del motor 205 de análisis actual en el campo 320 de CVDAV. El motor 205 de análisis detiene entonces 550 la exploración del archivo 340.
La presente invención puede implementarse mediante un programa informático que funcione en un ordenador de sobremesa estándar. Un aspecto de la presente invención suministra así un medio de almacenamiento que almacena instrucciones implementables por un procesador para llevar a cabo el procedimiento que se describió anteriormente.
Además, el programa de ordenador puede obtenerse de forma electrónica por ejemplo descargando el código a través de una red tal como Internet. De esta forma, de acuerdo con otro aspecto de la presente invención, se proporciona una señal eléctrica que lleva instrucciones implementables por un procesador para controlar un procesador para llevar a cabo el procedimiento tal como se describió anteriormente.
La anterior descripción se incluye para ilustrar el funcionamiento de la realización preferida y no busca limitar el ámbito de la invención. El ámbito de la invención se limita solamente por las siguientes reivindicaciones. A partir de la anterior discusión será aparente para aquellos expertos en la materia que muchas variaciones estarían aún comprendidas por el ámbito de la invención.

Claims (18)

1. Un procedimiento para operar un sistema (205, 215) para detectar la infección de un archivo informático (340) por uno cualquiera de una serie de agentes atacantes, el procedimiento comprende los pasos de:
generar (150) una nueva función unívoca de una región crítica de objetivo viral del archivo y para cada agente atacante realizar los paso de:
comparar (540) la nueva función unívoca de la región crítica de objetivo viral con una función unívoca previamente generada de la región crítica de objetivo viral;
determinar (535) si el archivo ha sido explorado para buscar una infección por el agente atacante con la versión más reciente de un módulo (425) de retención respectivo; y
determinar (542) que el archivo no ha sido infectado por el agente atacante cuando la nueva función unívoca y la función unívoca previamente generada son idénticas y se determina que el archivo ha sido explorado con la versión más reciente del módulo de detección.
2. El procedimiento de la reivindicación 1 que además comprende el paso de aplicar, para cada agente atacante, el módulo de detección al archivo en respuesta a una determinación de que el archivo no ha sido explorado con la versión más reciente del módulo de detección.
3. El procedimiento de la reivindicación 2 que además comprende el paso de actualizar, para cada agente atacante, un indicador de la versión más reciente de un motor de exploración aplicado al archivo para indicar la versión actual del motor de exploración.
4. El procedimiento de la reivindicación 1, en el que el paso de determinar si el archivo ha sido explorado en busca de una infección por el agente atacante con la versión más reciente del módulo de detección comprende los pasos secundarios de:
determinar la versión más reciente de un motor de análisis aplicado al archivo;
determinar la versión más reciente del motor de exploración para incluir una versión actualizada del módulo de detección; y
determinar que el archivo ha sido explorado con la versión más reciente del módulo de detección cuando la versión más reciente del motor de análisis aplicada al archivo no se creó antes que la versión más reciente del motor de análisis para incluir la versión actualizada del módulo de detección.
5. El procedimiento de la reivindicación 1, que además comprende el paso de aplicar (525) el módulo de detección al archivo en respuesta a una determinación de que la nueva función unívoca y la función unívoca previamente generada no son idénticas.
6. El procedimiento de la reivindicación 5, que además comprende el paso de sustituir (549) la función unívoca previamente generada de la región crítica de objetivo viral con la nueva función unívoca de la región crítica de objetivo viral.
7. El procedimiento de la reivindicación 1, en el que la región crítica de objetivo viral incluye una cabecera de archivo ejecutable.
8. El procedimiento de la reivindicación 1, en el que la región crítica de objetivo viral incluye el inicio de una sección de reubicación.
9. El procedimiento de la reivindicación 1, en el que la región crítica de objetivo viral incluye una región circundante a un punto de entrada de programa.
10. Un procedimiento como el reivindicado en la reivindicación 1 en el que dichos pasos son precedidos por un paso adicional de realizar un conjunto de exploraciones de alta velocidad sobre el archivo usando un conjunto correspondiente de módulos simples (420) de detección.
11. Un sistema para detectar una infección de un archivo informático (340) por uno cualquiera de una serie de agentes atacantes, el sistema comprende:
una serie de módulos (425) de detección configurado cada uno para revisar el archivo informático en busca de una infección efectuada por un agente respectivo del conjunto de agentes atacantes, el módulo de detección incluye un identificador de la versión más reciente de un motor (205) de exploración para incluir una actualización en el módulo de detección;
una base (215) de datos en comunicación con los módulos de detección, que almacena entradas, cada entrada se asocia con un archivo (340) y contiene una función unívoca (310) previamente generada de una región crítica de objetivo viral y un identificador (320) que indica una región más reciente del motor de exploración para explorar el archivo en busca de la presencia de código maligno;
un generador (430) de funciones unívocas, en comunicación con la base de datos y configurado para generar una nueva función unívoca de la región crítica de objetivo viral;
un módulo (410) de selección, en comunicación con la base de datos y el generador de funciones unívocas y configurado para cada agente atacante para:
comparar la nueva función unívoca de la región crítica de objetivo viral con la función unívoca previamente generada de la región crítica de objetivo viral;
comparar el identificador de la versión más reciente del motor de exploración para explorar el archivo en busca del identificador de la versión más reciente del motor de exploración para incluir una actualización del módulo de detección; y
determinar que el archivo no ha sido infectado por un agente atacante cuando la nueva función unívoca y la función unívoca previamente generada son idénticas y la versión más reciente del motor de exploración para explorar el archivo no es una versión anterior a la versión más reciente del motor de exploración para incluir una actualización del módulo de detección.
12. El sistema de la reivindicación 11, en el que el módulo de selección está configurado además para:
aplicar el módulo de detección al archivo en respuesta a la determinación de que la versión más reciente del motor de exploración para explorar el archivo es una versión anterior a la versión más reciente del motor de exploración para incluir una actualización del módulo de detección.
13. El sistema de la reivindicación 12, que además comprende un módulo (415) de actualización, en comunicación con la base de datos y con el módulo de selección, y que está configurado para actualizar el identificador de la versión más reciente del motor de exploración para explorar el archivo para indicar que la versión más reciente del motor de exploración para explorar el archivo es la versión actual del motor de exploración.
14. El sistema de la reivindicación 11, en el que el módulo de selección está configurado además para aplicar el módulo de detección al archivo en respuesta a una determinación para un agente atacante respectivo de que la nueva función unívoca y la función unívoca previamente generada no son idénticas.
15. El sistema de la reivindicación 14, en el que un módulo (415) de actualización está configurado para actualizar la base de datos para almacenar la nueva función unívoca de la región crítica de objetivo viral.
16. Un sistema como el reivindicado en la reivindicación 11, que comprende un conjunto de módulos simples (420) de detección, operables para realizar exploraciones de alta velocidad en el archivo.
17. Un medio informáticamente legible que contiene instrucciones de código informático para controlar un sistema para llevar a cabo todos los pasos de un procedimiento como el reivindicado en una cualquiera de las reivindicaciones 1 a 10.
18. Una señal eléctrica que lleva instrucciones implementables por un procesador para controlar un procesador para que lleve a cabo el procedimiento de una cualquiera de las reivindicaciones 1 a 10.
ES03256152T 2002-10-07 2003-09-30 Deteccion selectiva de codigos informaticos malignos. Expired - Lifetime ES2257643T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/266,365 US7337471B2 (en) 2002-10-07 2002-10-07 Selective detection of malicious computer code
US266365 2002-10-07

Publications (1)

Publication Number Publication Date
ES2257643T3 true ES2257643T3 (es) 2006-08-01

Family

ID=32030342

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03256152T Expired - Lifetime ES2257643T3 (es) 2002-10-07 2003-09-30 Deteccion selectiva de codigos informaticos malignos.

Country Status (5)

Country Link
US (2) US7337471B2 (es)
EP (1) EP1408393B1 (es)
AT (1) ATE319128T1 (es)
DE (1) DE60303753T2 (es)
ES (1) ES2257643T3 (es)

Families Citing this family (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7631184B2 (en) * 2002-05-14 2009-12-08 Nicholas Ryan System and method for imposing security on copies of secured items
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US7783765B2 (en) 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US7478418B2 (en) * 2001-12-12 2009-01-13 Guardian Data Storage, Llc Guaranteed delivery of changes to security policies in a distributed system
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US7337471B2 (en) 2002-10-07 2008-02-26 Symantec Corporation Selective detection of malicious computer code
US7260847B2 (en) 2002-10-24 2007-08-21 Symantec Corporation Antivirus scanning in a hard-linked environment
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US7293290B2 (en) 2003-02-06 2007-11-06 Symantec Corporation Dynamic detection of computer worms
US7246227B2 (en) 2003-02-10 2007-07-17 Symantec Corporation Efficient scanning of stream based data
US7546638B2 (en) 2003-03-18 2009-06-09 Symantec Corporation Automated identification and clean-up of malicious computer code
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7739278B1 (en) 2003-08-22 2010-06-15 Symantec Corporation Source independent file attribute tracking
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7130981B1 (en) 2004-04-06 2006-10-31 Symantec Corporation Signature driven cache extension for stream based scanning
US7861304B1 (en) 2004-05-07 2010-12-28 Symantec Corporation Pattern matching using embedded functions
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
US7580993B2 (en) * 2004-07-30 2009-08-25 Sap Ag Document broadcasting utilizing hashcodes
EP1828902A4 (en) * 2004-10-26 2009-07-01 Rudra Technologies Pte Ltd SYSTEM AND METHOD FOR IDENTIFYING AND REMOVING MALWARE ON A COMPUTER SYSTEM
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US20060095964A1 (en) * 2004-10-29 2006-05-04 Microsoft Corporation Document stamping antivirus manifest
US20060101277A1 (en) * 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
US7591016B2 (en) * 2005-04-14 2009-09-15 Webroot Software, Inc. System and method for scanning memory for pestware offset signatures
US7571476B2 (en) * 2005-04-14 2009-08-04 Webroot Software, Inc. System and method for scanning memory for pestware
US7349931B2 (en) 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
US7895654B1 (en) 2005-06-27 2011-02-22 Symantec Corporation Efficient file scanning using secure listing of file modification times
US7975303B1 (en) 2005-06-27 2011-07-05 Symantec Corporation Efficient file scanning using input-output hints
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8060747B1 (en) 2005-09-12 2011-11-15 Microsoft Corporation Digital signatures for embedded code
US8255992B2 (en) * 2006-01-18 2012-08-28 Webroot Inc. Method and system for detecting dependent pestware objects on a computer
US8190902B2 (en) 2006-02-27 2012-05-29 Microsoft Corporation Techniques for digital signature formation and verification
US8205087B2 (en) 2006-02-27 2012-06-19 Microsoft Corporation Tool for digitally signing multiple documents
GB0605117D0 (en) * 2006-03-14 2006-04-26 Streamshield Networks Ltd A method and apparatus for providing network security
US8205261B1 (en) 2006-03-31 2012-06-19 Emc Corporation Incremental virus scan
US8443445B1 (en) 2006-03-31 2013-05-14 Emc Corporation Risk-aware scanning of objects
US7854006B1 (en) 2006-03-31 2010-12-14 Emc Corporation Differential virus scan
US20080022378A1 (en) * 2006-06-21 2008-01-24 Rolf Repasi Restricting malicious libraries
US8087084B1 (en) 2006-06-28 2011-12-27 Emc Corporation Security for scanning objects
US8122507B1 (en) * 2006-06-28 2012-02-21 Emc Corporation Efficient scanning of objects
US8151352B1 (en) * 2006-07-14 2012-04-03 Bitdefender IPR Managament Ltd. Anti-malware emulation systems and methods
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
JP4998019B2 (ja) * 2007-03-06 2012-08-15 富士通株式会社 状態表示制御装置
DE102008010790B4 (de) * 2008-02-22 2015-09-10 Fachhochschule Schmalkalden Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten
US8132258B1 (en) 2008-06-12 2012-03-06 Trend Micro Incorporated Remote security servers for protecting customer computers against computer security threats
US10262136B1 (en) * 2008-08-04 2019-04-16 Zscaler, Inc. Cloud-based malware detection
US8230510B1 (en) 2008-10-02 2012-07-24 Trend Micro Incorporated Scanning computer data for malicious codes using a remote server computer
US9292689B1 (en) 2008-10-14 2016-03-22 Trend Micro Incorporated Interactive malicious code detection over a computer network
TWI409665B (zh) * 2008-10-23 2013-09-21 Shrisinha Technology Corp Enter the information instantly against the protection method and its hardware
US8087081B1 (en) 2008-11-05 2011-12-27 Trend Micro Incorporated Selection of remotely located servers for computer security operations
US8813222B1 (en) 2009-01-21 2014-08-19 Bitdefender IPR Management Ltd. Collaborative malware scanning
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US8312548B1 (en) * 2009-04-24 2012-11-13 Network Appliance, Inc. Volume metadata update system for antivirus attributes
US9015840B2 (en) * 2009-06-08 2015-04-21 Clevx, Llc Portable media system with virus blocker and method of operation thereof
GB2471716A (en) * 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
EP2438511B1 (en) 2010-03-22 2019-07-03 LRDC Systems, LLC A method of identifying and protecting the integrity of a set of source data
US8566336B2 (en) 2011-03-30 2013-10-22 Splunk Inc. File identification management and tracking
US8548961B2 (en) 2011-03-30 2013-10-01 Splunk Inc. System and method for fast file tracking and change monitoring
GB2506622A (en) * 2012-10-04 2014-04-09 Ibm Anti-virus data management
RU2523112C1 (ru) * 2012-12-25 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу
US9792436B1 (en) * 2013-04-29 2017-10-17 Symantec Corporation Techniques for remediating an infected file
US9117081B2 (en) 2013-12-20 2015-08-25 Bitdefender IPR Management Ltd. Strongly isolated malware scanning using secure virtual containers
CN103942491A (zh) * 2013-12-25 2014-07-23 国家计算机网络与信息安全管理中心 一种互联网恶意代码处置方法
RU2634175C2 (ru) * 2015-12-18 2017-10-24 Акционерное общество "Лаборатория Касперского" Способ выполнения антивирусных проверок
GB2561562A (en) * 2017-04-18 2018-10-24 F Secure Corp Method for detecting and preventing an attack
US10903988B1 (en) 2019-11-04 2021-01-26 International Business Machines Corporation Unique instruction identifier that identifies common instructions across different code releases

Family Cites Families (82)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5212765A (en) 1990-08-03 1993-05-18 E. I. Du Pont De Nemours & Co., Inc. On-line training neural network system for process control
JP2501771B2 (ja) 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
US5398196A (en) 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
JPH0778098A (ja) 1993-09-08 1995-03-20 Fujitsu Ltd ファイル管理システム
US5495607A (en) 1993-11-15 1996-02-27 Conner Peripherals, Inc. Network management system having virtual catalog overview of files distributively stored across network domain
US5475826A (en) 1993-11-19 1995-12-12 Fischer; Addison M. Method for protecting a volatile file using a single hash
US5572590A (en) 1994-04-12 1996-11-05 International Business Machines Corporation Discrimination of malicious changes to digital information using multiple signatures
US5613002A (en) * 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
US6944555B2 (en) 1994-12-30 2005-09-13 Power Measurement Ltd. Communications architecture for intelligent electronic devices
US5675710A (en) 1995-06-07 1997-10-07 Lucent Technologies, Inc. Method and apparatus for training a text classifier
US5854916A (en) 1995-09-28 1998-12-29 Symantec Corporation State-based cache for antivirus software
US6006242A (en) 1996-04-05 1999-12-21 Bankers Systems, Inc. Apparatus and method for dynamically creating a document
US5884033A (en) 1996-05-15 1999-03-16 Spyglass, Inc. Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions
US5944821A (en) * 1996-07-11 1999-08-31 Compaq Computer Corporation Secure software registration and integrity assessment in a computer system
JPH1040197A (ja) 1996-07-19 1998-02-13 Fujitsu Ltd 通信管理装置
US5832208A (en) 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US6072942A (en) 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
US6167520A (en) 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US5994821A (en) * 1996-11-29 1999-11-30 Matsushita Electric Industrial Co., Ltd. Displacement control actuator
US6125459A (en) 1997-01-24 2000-09-26 International Business Machines Company Information storing method, information storing unit, and disk drive
US6126459A (en) * 1997-03-24 2000-10-03 Ford Motor Company Substrate and electrical connector assembly
US5974549A (en) 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6298351B1 (en) 1997-04-11 2001-10-02 International Business Machines Corporation Modifying an unreliable training set for supervised classification
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US6094731A (en) * 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6021510A (en) 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6751789B1 (en) 1997-12-12 2004-06-15 International Business Machines Corporation Method and system for periodic trace sampling for real-time generation of segments of call stack trees augmented with call stack position determination
US6023723A (en) 1997-12-22 2000-02-08 Accepted Marketing, Inc. Method and system for filtering unwanted junk e-mail utilizing a plurality of filtering mechanisms
AU1907899A (en) 1997-12-22 1999-07-12 Accepted Marketing, Inc. E-mail filter and method thereof
US6052709A (en) 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US6088803A (en) 1997-12-30 2000-07-11 Intel Corporation System for virus-checking network data during download to a client device
US6324649B1 (en) 1998-03-02 2001-11-27 Compaq Computer Corporation Modified license key entry for pre-installation of software
US6347310B1 (en) 1998-05-11 2002-02-12 Torrent Systems, Inc. Computer system and process for training of analytical models using large data sets
US6253169B1 (en) 1998-05-28 2001-06-26 International Business Machines Corporation Method for improvement accuracy of decision tree based text categorization
US6161130A (en) 1998-06-23 2000-12-12 Microsoft Corporation Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set
US6546416B1 (en) 1998-12-09 2003-04-08 Infoseek Corporation Method and system for selectively blocking delivery of bulk electronic mail
US6397200B1 (en) 1999-03-18 2002-05-28 The United States Of America As Represented By The Secretary Of The Navy Data reduction system for improving classifier performance
US6505167B1 (en) 1999-04-20 2003-01-07 Microsoft Corp. Systems and methods for directing automated services for messaging and scheduling
US6370526B1 (en) 1999-05-18 2002-04-09 International Business Machines Corporation Self-adaptive method and system for providing a user-preferred ranking order of object sets
US20020038308A1 (en) 1999-05-27 2002-03-28 Michael Cappi System and method for creating a virtual data warehouse
US6502082B1 (en) 1999-06-01 2002-12-31 Microsoft Corp Modality fusion for object tracking with training system and method
US6772346B1 (en) * 1999-07-16 2004-08-03 International Business Machines Corporation System and method for managing files in a distributed system using filtering
US7366702B2 (en) 1999-07-30 2008-04-29 Ipass Inc. System and method for secure network purchasing
US6442606B1 (en) 1999-08-12 2002-08-27 Inktomi Corporation Method and apparatus for identifying spoof documents
US6456991B1 (en) 1999-09-01 2002-09-24 Hrl Laboratories, Llc Classification method and apparatus based on boosting and pruning of multiple classifiers
US6424960B1 (en) 1999-10-14 2002-07-23 The Salk Institute For Biological Studies Unsupervised adaptation and classification of multiple classes and sources in blind signal separation
US6397215B1 (en) 1999-10-29 2002-05-28 International Business Machines Corporation Method and system for automatic comparison of text classifications
AU2099201A (en) 1999-12-21 2001-07-03 Tivo, Inc. Intelligent system and methods of recommending media content items based on userpreferences
US20020087649A1 (en) 2000-03-16 2002-07-04 Horvitz Eric J. Bounded-deferral policies for reducing the disruptiveness of notifications
US6842861B1 (en) * 2000-03-24 2005-01-11 Networks Associates Technology, Inc. Method and system for detecting viruses on handheld computers
US6973578B1 (en) 2000-05-31 2005-12-06 Networks Associates Technology, Inc. System, method and computer program product for process-based selection of virus detection actions
US6721721B1 (en) 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
US20020046207A1 (en) 2000-06-30 2002-04-18 Seiko Epson Corporation Information distribution system, information distribution method, and computer program for implementing the method
US6778986B1 (en) 2000-07-31 2004-08-17 Eliyon Technologies Corporation Computer method and apparatus for determining site type of a web site
US6886099B1 (en) 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection
US6928555B1 (en) * 2000-09-18 2005-08-09 Networks Associates Technology, Inc. Method and apparatus for minimizing file scanning by anti-virus programs
AU2001296205A1 (en) 2000-10-17 2002-04-29 Shyne-Song Chuang A method and system for detecting rogue software
US20020147694A1 (en) 2001-01-31 2002-10-10 Dempsey Derek M. Retraining trainable data classifiers
US20020178375A1 (en) 2001-01-31 2002-11-28 Harris Corporation Method and system for protecting against malicious mobile code
US8949878B2 (en) 2001-03-30 2015-02-03 Funai Electric Co., Ltd. System for parental control in video programs based on multimedia content information
WO2002088943A1 (en) 2001-04-27 2002-11-07 W. Quinn, Inc. Filter driver for identifying disk files by analysis of content
US20020194489A1 (en) 2001-06-18 2002-12-19 Gal Almogy System and method of virus containment in computer networks
US7194625B2 (en) 2001-06-19 2007-03-20 Intel Corporation Method and apparatus for authenticating registry information
US7673342B2 (en) 2001-07-26 2010-03-02 Mcafee, Inc. Detecting e-mail propagated malware
US7487544B2 (en) 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US7657935B2 (en) 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US20030033587A1 (en) 2001-09-05 2003-02-13 Bruce Ferguson System and method for on-line training of a non-linear model for use in electronic commerce
US8041803B2 (en) 2001-09-26 2011-10-18 Qurio Holdings, Inc. Method and system for delivering files in digital file marketplace
US20030110395A1 (en) 2001-12-10 2003-06-12 Presotto David Leo Controlled network partitioning using firedoors
US7159036B2 (en) 2001-12-10 2007-01-02 Mcafee, Inc. Updating data from a source computer to groups of destination computers
US7150043B2 (en) 2001-12-12 2006-12-12 International Business Machines Corporation Intrusion detection method and signature table
US20030115479A1 (en) 2001-12-14 2003-06-19 Jonathan Edwards Method and system for detecting computer malwares by scan of process memory after process initialization
US20030115458A1 (en) 2001-12-19 2003-06-19 Dongho Song Invisable file technology for recovering or protecting a computer file system
US20030154394A1 (en) 2002-02-13 2003-08-14 Levin Lawrence R. Computer virus control
US20030233352A1 (en) 2002-03-21 2003-12-18 Baker Andrey George Method and apparatus for screening media
US8924484B2 (en) 2002-07-16 2014-12-30 Sonicwall, Inc. Active e-mail filter with challenge-response
US6952779B1 (en) 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7337471B2 (en) 2002-10-07 2008-02-26 Symantec Corporation Selective detection of malicious computer code
US7249187B2 (en) 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US7631353B2 (en) 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
JP3979285B2 (ja) 2002-12-17 2007-09-19 株式会社日立製作所 情報処理システム
JP4991283B2 (ja) 2003-02-21 2012-08-01 カリンゴ・インコーポレーテッド コンテンツベースのアドレシングにおける追加ハッシュ関数

Also Published As

Publication number Publication date
EP1408393A3 (en) 2004-11-24
DE60303753T2 (de) 2006-12-28
US7337471B2 (en) 2008-02-26
DE60303753D1 (de) 2006-04-27
US20040068664A1 (en) 2004-04-08
EP1408393A2 (en) 2004-04-14
US7458099B1 (en) 2008-11-25
ATE319128T1 (de) 2006-03-15
EP1408393B1 (en) 2006-03-01

Similar Documents

Publication Publication Date Title
ES2257643T3 (es) Deteccion selectiva de codigos informaticos malignos.
RU2607231C2 (ru) Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга
Konstantinou et al. Metamorphic virus: Analysis and detection
US7409717B1 (en) Metamorphic computer virus detection
US9135443B2 (en) Identifying malicious threads
US7925888B1 (en) Data driven detection of viruses
EP0951676B1 (en) Method and apparatus for polymorphic virus detection
CA2759279C (en) Digital dna sequence
EP0852763B1 (en) Polymorphic virus detection method and system
US8352484B1 (en) Systems and methods for hashing executable files
US8117433B2 (en) Method and apparatus to prevent vulnerability to virus and worm attacks through instruction remapping
US7469419B2 (en) Detection of malicious computer code
RU2634178C1 (ru) Способ обнаружения вредоносных составных файлов
CN103390130B (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
Naidu et al. A syntactic approach for detecting viral polymorphic malware variants
Piromsopa et al. Survey of protections from buffer-overflow attacks
US8856921B1 (en) Threat emergence date scan optimization to avoid unnecessary loading of scan engines
Guo et al. A Research and Verification of MFC Framework-aware Virus Infection Technology
Wang et al. A Multidisciplinary Approach for Online Detection of X86 Malicious Executables
Piromsopa Secure bit: Buffer-overflow protection
Sharma Dynamic Code Checksum Generator
Grebenyuk et al. Mac OS X Malware Vulnerabilities (November 2008)