ES2257643T3 - Deteccion selectiva de codigos informaticos malignos. - Google Patents
Deteccion selectiva de codigos informaticos malignos.Info
- Publication number
- ES2257643T3 ES2257643T3 ES03256152T ES03256152T ES2257643T3 ES 2257643 T3 ES2257643 T3 ES 2257643T3 ES 03256152 T ES03256152 T ES 03256152T ES 03256152 T ES03256152 T ES 03256152T ES 2257643 T3 ES2257643 T3 ES 2257643T3
- Authority
- ES
- Spain
- Prior art keywords
- file
- version
- module
- detection
- engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Debugging And Monitoring (AREA)
Abstract
Un procedimiento para operar un sistema (205, 215) para detectar la infección de un archivo informático (340) por uno cualquiera de una serie de agentes atacantes, el procedimiento comprende los pasos de: generar (150) una nueva función unívoca de una región crítica de objetivo viral del archivo y para cada agente atacante realizar los paso de: comparar (540) la nueva función unívoca de la región crítica de objetivo viral con una función unívoca previamente generada de la región crítica de objetivo viral; determinar (535) si el archivo ha sido explorado para buscar una infección por el agente atacante con la versión más reciente de un módulo (425) de retención respectivo; y determinar (542) que el archivo no ha sido infectado por el agente atacante cuando la nueva función unívoca y la función unívoca previamente generada son idénticas y se determina que el archivo ha sido explorado con la versión más reciente del módulo de detección.
Description
Detención selectiva de códigos informáticos
malignos.
Esta invención se refiere de forma general a la
detección de la presencia de código maligno en archivos
informáticos y más particularmente a la mejora y del rendimiento
del procedimiento de detección de código maligno.
Durante la breve historia de los ordenadores, los
administradores de sistemas y los usuarios se han viso acosados por
agentes atacantes, tales como virus, gusanos y caballos de Troya,
que pueden estar diseñados para inutilizar sistemas informáticos
centrales y propagarse a los sistemas conectados.
En años recientes, dos desarrollos han
incrementado la amenaza planteada por estos agentes atacantes. En
primer lugar, la mayor dependencia de los ordenadores para realizar
tareas comerciales críticas ha incrementado el coste económico
asociado con el período de inactividad del sistema. En segundo
lugar, la mayor conectividad entre ordenadores ha hecho posible que
los agentes atacantes se extiendan a un gran número de sistemas en
cuestión de horas.
Los agentes atacantes pueden infectar un sistema
sustituyendo el código ejecutable almacenado en los archivos ya
existentes. Cuando el sistema intenta ejecutar el código almacenado
en esos archivos, ejecuta en cambio el código maligno insertado
por el agente atacante, permitiendo que el agente atacante consiga
el control del sistema. Utilidades de análisis de virus, tales como
el antivirus Norton, producido por Symantec Corporation de
Cupertino, California, permiten que el usuario determine si el
archivo que contiene código ejecutable ha sido infectado con código
maligno.
Tradicionalmente, estas utilidades habían sido
capaces de detectar virus verificando secciones de código
sospechosas en posiciones designadas o buscando otras
características fácilmente detectables. Estos procedimientos pueden
realizarse rápidamente, con poca carga para los recursos del
sistema.
Sin embargo, a medida que los agentes atacantes
se van haciendo más sofisticados, las utilidades de análisis
necesitan realizar comprobaciones incluso más complicadas para
detectar la presencia de código maligno. Por ejemplo, un código de
finalidad específica puede tener que examinar amplias partes de un
archivo o realizar técnicas de emulación complicadas para detectar
la presencia de virus.
Estas técnicas a menudo se realizan en serie y
son extremadamente intensas en tiempo y recursos. La optimización
de estas rutinas lo suficiente como para evitar que se vuelvan
consumidoras inaceptables de tiempo cuando se aplican a un gran
número de archivos es extremadamente difícil a medida que los
agentes atacantes crecen en número y complejidad. Lo que se
necesita es una forma de mejorar la velocidad y fiabilidad de las
técnicas de detección.
El documento WO 00/28420 describe la exploración
de un archivo con un módulo antivirus y el almacenamiento, en un
archivo de sectores críticos, de una función unívoca para cada
sector explorado, la fecha de la actualización más reciente del
módulo y el número de versión del módulo. El archivo de sectores
críticos se transmite junto con el archivo a un ordenador receptor
en donde se recalcula el valor de la función unívoca y se compara
con el valor almacenado.
Aspectos de la presente invención se fijan en las
reivindicaciones adjuntas independientes.
Realizaciones de la presente invención comprenden
procedimientos, sistemas y medios informáticamente legibles para
determinar si un archivo informático 340 ha ido infectado por un
agente atacante. Un motor 205 de análisis genera una nueva función
unívoca de la región crítica de objetivo viral del archivo 340 y lo
compara con una función unívoca almacenado de la región crítica de
objetivo viral. Para cada uno de los agentes atacantes, el motor
205 de análisis determina si el archivo 340 ha sido explorado por
la versión más reciente de un módulo 425 de detección asociado con
el agente atacante. Si las funciones unívocas son idénticas y el
archivo 340 ha sido explorado por la versión más reciente del
módulo 425 de detección, el motor 205 de análisis determina que el
archivo 340 está libre de infección por el agente atacante.
Estos y otros objetos y características más
detallados y específicos de la presente invención se ponen de
manifiesto más completamente en la siguiente memoria técnica, que
hace referencia a los dibujos adjuntos en los cuales:
La figura 1 es un diagrama de bloques de alto
nivel que ilustra un sistema informático 100 en el cual puede
detectarse código maligno.
La figura 2 es un diagrama de bloques que
ilustra una vista más próxima de la memoria 106 y del
almacenamiento 108 del sistema informático 100 de la figura 1.
La figura 3 es un diagrama de bloques que ilustra
una entrada 300 en una base 215 de datos histórica de
exploraciones.
La figura 4 es un diagrama de bloques que ilustra
una vista más próxima de un motor 205 de análisis.
La figura 5 es un diagrama de flujo que ilustra
una realización preferida de la presente invención.
Una realización permite determinar si un archivo
340 contiene código maligno revisando una función unívoca de una
región crítica de objetivo viral
(CVTR).
(CVTR).
Tal como aquí se utiliza, CVTR se refiere a una
región de un archivo 340 que cambia inusualmente cuando el archivo
340 se infecta con código maligno. Las CVTR deben ser específicas
para un archivo 340 y pueden incluir la cabecera del archivo
ejecutable, la región circundante a un punto principal de entrada
del programa, la sección de reubicación del archivo 340 o cualquier
sección del archivo 340 que pudiera ser probablemente modificada
por un agente atacante. Un archivo puede incluir múltiples CVTR,
cada una de ellas asociadas con agentes atacantes
particula-
res.
res.
Tal como aquí se utiliza, el término "código
maligno" se refiere a cualquier programa, módulo o trozo de
código que penetra en un ordenador sin el conocimiento de un
usuario autorizado y/o en contra de los deseos de un usuario
autorizado. El término "agente atacante" incluye programas
caballo de Troya, gusanos, virus y cualquier otro software
insidioso que inserta código maligno dentro de un archivo 340. Un
agente atacante puede incluir la habilidad de replicarse asimismo y
comprometer otros sistemas informáticos. Tal como aquí se utilizan
los términos "infectado" e "infección" se refieren al
proceso de insertar código maligno en un archivo.
Una función unívoca, a partir de una entrada de
tamaño variable genera una salida de tamaño fijo, que está
substancialmente libre de colisiones. Normalmente, la salida es
menor que la entrada. "Unívoca" significa que la salida es
fácil de calcular a partir de la entrada pero computacionalmente
inviable para calcular la entrada a partir de la salida.
"Substancialmente libre de colisiones" significa que es muy
difícil encontrar dos o más entradas que mediante la función
unívoca den como resultado la misma salida. Ejemplo de funciones
unívocas adecuadas utilizables en la realización son el MDS y la
función CRC "Comprobación de redundancia cíclica".
La figura 1 es un diagrama de bloques de alto
nivel que ilustra un sistema informático 100 sobre el cual se ha
detectado código maligno. Se ilustra un procesador 102 acoplado a
un bus 104. Hay más de un procesador 102. También acoplado al bus
104 se encuentran una memoria, un dispositivo 108 de
almacenamiento, un teclado 110, un adaptador gráfico 112, un
dispositivo 114 de señalización y un adaptador 116 de red. Una
pantalla 118 se encuentra acoplada al adaptador gráfico 112.
El procesador 102 puede ser un procesador de
funciones específicas o generales tal como un INTEL X86 o una
unidad central de procesamiento (CPU) compatible con POWERPC. El
dispositivo 108 de almacenamiento puede ser cualquier dispositivo
capaz de contener una gran cantidad de datos, tal como un disco
duro, una memoria de solo lectura en forma de disco compacto
(CD-ROM), un DVD o cualquier otra forma fija o
desmontable de dispositivo de almacenamiento.
La memoria 106 contiene instrucciones y datos
utilizados por el procesador 102. El dispositivo 114 de
señalización puede ser un ratón, una pantalla sensible al tacto o
cualquier otro tipo de dispositivo de señalización y se utiliza en
combinación con el teclado 110 para introducir datos en el sistema
informático 100. Los tipos de hardware y software introducidos en
el sistema informático 100 pueden variar.
La figura 2 es un diagrama de bloques que ilustra
una vista más próxima de la memoria 106 y del almacenamiento 108
del sistema informático 100 de la figura 1. La memoria 106 incluye
un motor 205 de análisis que detecta la presencia de código maligno
en el sistema informático 100.
El motor 205 de exploración comprende un grupo de
módulos que están almacenados en el almacenamiento 108 y cargados
en la memoria 106. Tal como aquí se utiliza, el término módulo se
refiere a la lógica de un programa informático y/o a cualquier
hardware o circuitería utilizados para suministrar la funcionalidad
atribuida al módulo. Un módulo puede estar implementado en hardware,
software, firmware o cualquiera de sus combinaciones.
El motor 205 de exploración identifica los datos
a revisar en busca de la presencia de agentes atacantes, comprueba
la presencia de agentes atacantes y, si fuera necesario, responde a
un agente atacante detectado. Típicamente, los datos a revisar
residen en el dispositivo 108 de almacenamiento, en la memoria 106
o en ambos. El motor 205 de análisis, por lo tanto identifica
archivos particulares 210 y/o posiciones de memoria a revisar en
busca de agentes atacantes. Otros datos que pueden ser
identificados por el motor 205 de análisis incluyen correos
electrónicos recibidos o enviados por el sistema informático 100,
datos en secuencia continua recibidos desde Internet, etc. El motor
205 de análisis incluye un identificador de versión que se
actualiza siempre que se instala una nueva versión del motor 205 de
análisis.
El almacenamiento 108 incluye archivos
ejecutables 210 y una base 215 de datos de CVTR. Los archivos
ejecutables 210 son archivos que contienen código ejecutable que
son ejecutados por el sistema informático 100 para realizar
diferentes tareas computacionales. La base 215 de datos de CVTR
contiene información de análisis relativa a cada uno de los
archivos ejecutables 210. La base 215 de datos CVTR almacena
preferiblemente una región 310 de CVTR de cada uno de los archivos
ejecutables 210, un identificador de archivo 305 e identificadores
320 que indican la versión más reciente del motor 205 de análisis
aplicada al archivo 340.
La figura 3 es un diagrama de bloques que ilustra
una entrada 300 en una base 215 de datos de CVTR. Cada entrada 300
almacena información relativa a un archivo 340. La entrada 300
incluye un identificador 305 de archivo, que identifica
unívocamente el archivo 340 para el motor 205 de análisis. El
identificador 305 de archivo puede ser el nombre del archivo o puede
ser una función unívoca de una parte única del archivo 340. Usando
una función unívoca como identificador, el motor 205 de análisis
puede identificar archivos 210 incluso si se ha cambiado el nombre
del archivo 340, de forma maliciosa o cualquier otra forma.
La entrada 300 incluye adicionalmente una sección
310 que almacena las funciones unívocas de una o más regiones de
CVTR del archivo 340. Estas funciones unívocas son generadas cuando
el motor 205 de análisis realiza una exploración compleja del
archivo 340. La sección 310 puede incluir una función unívoca de una
CVTR simple que se utiliza en la detección de todos los agentes
atacantes. Alternativamente, la sección 310 puede almacenar
múltiples funciones unívocas de CVTR, estando cada CVTR asociada
con uno o más agentes atacantes. Los cambios detectados en una
CVTR, tal como un incremento del campo de tamaño son indicativos de
una posible infección por un agente atacante, pero puede que no
sean útiles como indicadores del agente atacante específico. Sin
embargo, la ausencia de cambios en cualquier CVTR es un indicador
fiable de que un agente atacante no ha insertado código maligno en
el archivo
340.
340.
Cada entrada 300 también incluye una sección
compleja de la versión del algoritmo de detección de virus (CVDAV)
320. Cada sección 320 de CVDAV almacena la versión del motor 205 de
análisis que se utilizó la última vez para explorar el archivo 340.
Cuando una versión más reciente del motor 205 de análisis realiza
un análisis del archivo 340 para buscar cualquier agente atacante,
la sección 320 de CVDAV se actualiza.
La figura 4 es un diagrama de bloques que ilustra
una vista más próxima del motor 205 de análisis. El motor 205 de
análisis incluye un módulo 410 de selección. El módulo 410 de
selección determina qué pruebas a aplicar a los archivos
ejecutables 210. El módulo 410 de selección está configurado para
evaluar una entrada 300 de la base de datos para el archivo 340 y
determinar qué módulos simples 420 de detección y qué módulos
complejos 425 de detección se aplicarán al archivo 340.
Un generador 430 de funciones unívocas se
configura para generar una función unívoca de una región de CVTR de
un archivo 340. Las funciones unívocas generadas se comparan con
las funciones unívocas 310 previamente generados almacenados en la
base 215 de datos de CVTR para determinar si el archivo 340 ha
cambiado.
El motor 205 de análisis incluye un grupo de
módulos simples 420 de detección. Estos módulos 420 de detección
comprueban típicamente áreas seleccionadas de un archivo 340 para
buscar distintas secuencias de código u otra información de
signatura. Alternativamente, los módulos 420 pueden revisar el
archivo 340 para buscar características distintivas tal como un
tamaño particular. Cada uno de los módulos simples 420 de detección
se asocia con un agente atacante en particular. El motor 205 de
análisis aplica típicamente múltiples módulos simples 420 de
detección en paralelo.
EL motor 205 de análisis incluye adicionalmente
un conjunto de módulos complejos 425 de detección. Estos módulos
425 de detección están configurados para realizar comprobaciones
más avanzadas sobre un archivo 340 para determinar si está presente
código maligno. Por ejemplo, un módulo complejo 425 de detección es
útil para detectar la presencia de un virus polimórfico encriptado.
Un virus polimórfico encriptado ("Virus polimórfico") incluye
una rutina de desencriptado y un cuerpo viral encriptado. Para
evitar las técnicas de detección comunes, los virus polimórficos
utilizan rutinas de desencriptado que son funcionalmente las mismas
para cada archivo infectado 340, pero tienen diferentes secuencias
de instrucciones. De esta forma, el motor 205 de análisis no puede
detectar un virus polimórfico aplicando uno de los módulos simples
420 de detección. En cambio, el motor 205 de análisis utiliza un
módulo complejo 425 de detección que carga el archivo ejecutable
340 en un emulador de CPU basado en software que actúa como
ordenador virtual simulado. Se permite que el archivo 340 se ejecute
libremente dentro de este ordenador virtual. Si el archivo
ejecutable 340 contiene un virus polimórfico, se deja que la rutina
de desencriptado desencripte el cuerpo viral. El módulo 425 de
detección detecta el virus buscando en la memoria virtual del
ordenador virtual una signatura del cuerpo viral desencriptado. Los
módulos complejos 425 de detección pueden también configurarse para
detectar virus metamórficos, que, mientras que no están
necesariamente encriptados, también varían las instrucciones
almacenadas en el cuerpo viral, o cualquier otro tipo de agente
atacante que no pueda ser detectado a través de una detección
simple basada en la signatura.
Típicamente, cada uno de los módulos complejos
425 de detección se asocia con un agente atacante particular y está
equipado para detectar su presencia, si bien en realizaciones
alternativas pueden asociarse múltiples módulos 425 de detección
con un agente atacante simple, o un módulo simple 425 de detección
puede estar equipado para detectar múltiples agentes atacantes.
Cada uno de los módulos complejos 425 de
detección incluye un número de versión indicativa de la última
versión del motor 205 de análisis para contener una versión
actualizada del módulo 425 de detección. Cuando se instala una nueva
versión del motor 205 de análisis, las versiones más recientes de
esos módulos 425 de detección que se han actualizado contienen el
identificador de la versión del motor 205 de análisis recientemente
instalada. Esta información permite que el motor 205 de análisis
determine si un archivo 340 ha sido explorado con la versión más
reciente de un módulo 425 de detección. El motor 205 de análisis
revisa la entrada 320 de CVDAV asociada con un archivo 340 para
determinar la última versión del motor 205 de análisis aplicada al
archivo 340.
La figura 5 es un diagrama de flujo que ilustra
una realización preferida de al invención. El proceso comienza con
el motor 205 de análisis aplicando 505 los módulos simples 420 de
detección al archivo 340 a explorar. Típicamente, este proceso se
realiza hasta que se hayan aplicado todos lo módulos simples 420 de
detección al archivo 340. Entonces el generador 430 de funciones
unívocas lee el archivo 340 y calcula 510 una función unívoca de
una región crítica de objetivo viral del archivo 340.
Después, el módulo 410 de selección determina 520
si la base 215 de datos de CVTR incluye una entrada 300 para el
archivo actual 340. Si el archivo 340 no está en la base 215 de
datos, el módulo 410 de selección aplica 525 un módulo complejo 425
de detección al archivo 340.
Si el archivo 340 aparece en la base 215 de
datos, el módulo 410 de selección determina 535 si el archivo 340
ha sido explorado por la versión más reciente del módulo 425 de
detección revisando la sección 320 de CVDAV de la entrada 300 que
se corresponde con el archivo 340 en la base 215 de datos de CVTR
para determinar la versión del motor 205 de análisis que se aplicó
la última vez al archivo 340. El módulo 410 de selección revisa
entonces el número de la versión del módulo complejo actual 425 de
detección para determinar si la última versión del motor 205 de
análisis contiene una actualización para el módulo 425 de
detección. Si el número de versión del motor 205 de análisis que se
aplicó la última vez al archivo 340 es igual o más alto que el
número de la versión más reciente del motor 205 de análisis que
contiene una actualización del módulo 425 de detección, el motor
205 de análisis determina que el archivo 340 ha sido explorado con
la versión más reciente del módulo 425 de detección actual.
Si el módulo 410 de selección determina que el
archivo 340 no ha sido explorado mediante la versión más reciente
del módulo 425 de detección, el motor 205 de análisis aplica 525 el
módulo complejo 425 de detección más reciente al archivo 340.
Si la sección 320 de la CVDAV indica que el
archivo 340 se exploró con el módulo de detección actual, el módulo
410 de selección determina 540 si la CVTR ha cambiado comparando la
función unívoca de la CVTR recientemente generada con la función
unívoca 310 de la CVTR almacenado en la base 215 de datos. Si el
módulo 410 de selección determina que la CTVR ha cambiado, el motor
205 de análisis aplica el módulo complejo 425 de detección al
archivo 340. Si el módulo 410 de selección determina que la CVTR no
ha cambiado, el módulo 410 de selección aprueba 542 el archivo como
no infectado por el agente atacante actual. El proceso se repite
545 para cada nódulo complejo 425 de detección, hasta que o el
archivo 340se haya revisado para cada uno de los agentes atacantes
conocidos para el motor 205 de análisis.
Si se realiza 525 una exploración compleja sobre
el archivo 340 para buscar cualquier agente atacante, el módulo 415
de actualización actualiza 548 la base 215 de datos de CVTR para
reflejar cualquier cambio. El módulo 415 de actualización almacena
la función unívoca de la CVTR recientemente generada en el campo
310 de función unívoca y almacena el número de versión actual del
motor 205 de análisis en el campo 320 de la CVDAV. Si no existiese
previamente ninguna entrada para el archivo 340, el módulo 415 de
actualización crea una nueva entrada 300, almacena la función
unívoca de CVTR recientemente generada en el campo 310 de función
unívoca y almacena el número de versión del motor 205 de análisis
actual en el campo 320 de CVDAV. El motor 205 de análisis detiene
entonces 550 la exploración del archivo 340.
La presente invención puede implementarse
mediante un programa informático que funcione en un ordenador de
sobremesa estándar. Un aspecto de la presente invención suministra
así un medio de almacenamiento que almacena instrucciones
implementables por un procesador para llevar a cabo el procedimiento
que se describió anteriormente.
Además, el programa de ordenador puede obtenerse
de forma electrónica por ejemplo descargando el código a través de
una red tal como Internet. De esta forma, de acuerdo con otro
aspecto de la presente invención, se proporciona una señal
eléctrica que lleva instrucciones implementables por un procesador
para controlar un procesador para llevar a cabo el procedimiento
tal como se describió anteriormente.
La anterior descripción se incluye para ilustrar
el funcionamiento de la realización preferida y no busca limitar el
ámbito de la invención. El ámbito de la invención se limita
solamente por las siguientes reivindicaciones. A partir de la
anterior discusión será aparente para aquellos expertos en la
materia que muchas variaciones estarían aún comprendidas por el
ámbito de la invención.
Claims (18)
1. Un procedimiento para operar un sistema (205,
215) para detectar la infección de un archivo informático (340) por
uno cualquiera de una serie de agentes atacantes, el procedimiento
comprende los pasos de:
generar (150) una nueva función unívoca de una
región crítica de objetivo viral del archivo y para cada agente
atacante realizar los paso de:
comparar (540) la nueva función unívoca de la
región crítica de objetivo viral con una función unívoca
previamente generada de la región crítica de objetivo viral;
determinar (535) si el archivo ha sido explorado
para buscar una infección por el agente atacante con la versión más
reciente de un módulo (425) de retención respectivo; y
determinar (542) que el archivo no ha sido
infectado por el agente atacante cuando la nueva función unívoca y
la función unívoca previamente generada son idénticas y se
determina que el archivo ha sido explorado con la versión más
reciente del módulo de detección.
2. El procedimiento de la reivindicación 1 que
además comprende el paso de aplicar, para cada agente atacante, el
módulo de detección al archivo en respuesta a una determinación de
que el archivo no ha sido explorado con la versión más reciente del
módulo de detección.
3. El procedimiento de la reivindicación 2 que
además comprende el paso de actualizar, para cada agente atacante,
un indicador de la versión más reciente de un motor de exploración
aplicado al archivo para indicar la versión actual del motor de
exploración.
4. El procedimiento de la reivindicación 1, en
el que el paso de determinar si el archivo ha sido explorado en
busca de una infección por el agente atacante con la versión más
reciente del módulo de detección comprende los pasos secundarios
de:
- determinar la versión más reciente de un motor de análisis aplicado al archivo;
- determinar la versión más reciente del motor de exploración para incluir una versión actualizada del módulo de detección; y
- determinar que el archivo ha sido explorado con la versión más reciente del módulo de detección cuando la versión más reciente del motor de análisis aplicada al archivo no se creó antes que la versión más reciente del motor de análisis para incluir la versión actualizada del módulo de detección.
5. El procedimiento de la reivindicación 1, que
además comprende el paso de aplicar (525) el módulo de detección al
archivo en respuesta a una determinación de que la nueva función
unívoca y la función unívoca previamente generada no son
idénticas.
6. El procedimiento de la reivindicación 5, que
además comprende el paso de sustituir (549) la función unívoca
previamente generada de la región crítica de objetivo viral con la
nueva función unívoca de la región crítica de objetivo viral.
7. El procedimiento de la reivindicación 1, en el
que la región crítica de objetivo viral incluye una cabecera de
archivo ejecutable.
8. El procedimiento de la reivindicación 1, en el
que la región crítica de objetivo viral incluye el inicio de una
sección de reubicación.
9. El procedimiento de la reivindicación 1, en el
que la región crítica de objetivo viral incluye una región
circundante a un punto de entrada de programa.
10. Un procedimiento como el reivindicado en la
reivindicación 1 en el que dichos pasos son precedidos por un paso
adicional de realizar un conjunto de exploraciones de alta
velocidad sobre el archivo usando un conjunto correspondiente de
módulos simples (420) de detección.
11. Un sistema para detectar una infección de un
archivo informático (340) por uno cualquiera de una serie de
agentes atacantes, el sistema comprende:
una serie de módulos (425) de detección
configurado cada uno para revisar el archivo informático en busca
de una infección efectuada por un agente respectivo del conjunto de
agentes atacantes, el módulo de detección incluye un identificador
de la versión más reciente de un motor (205) de exploración para
incluir una actualización en el módulo de detección;
una base (215) de datos en comunicación con los
módulos de detección, que almacena entradas, cada entrada se asocia
con un archivo (340) y contiene una función unívoca (310)
previamente generada de una región crítica de objetivo viral y un
identificador (320) que indica una región más reciente del motor de
exploración para explorar el archivo en busca de la presencia de
código maligno;
un generador (430) de funciones unívocas, en
comunicación con la base de datos y configurado para generar una
nueva función unívoca de la región crítica de objetivo viral;
un módulo (410) de selección, en comunicación con
la base de datos y el generador de funciones unívocas y configurado
para cada agente atacante para:
comparar la nueva función unívoca de la región
crítica de objetivo viral con la función unívoca previamente
generada de la región crítica de objetivo viral;
comparar el identificador de la versión más
reciente del motor de exploración para explorar el archivo en busca
del identificador de la versión más reciente del motor de
exploración para incluir una actualización del módulo de detección;
y
determinar que el archivo no ha sido infectado
por un agente atacante cuando la nueva función unívoca y la función
unívoca previamente generada son idénticas y la versión más
reciente del motor de exploración para explorar el archivo no es
una versión anterior a la versión más reciente del motor de
exploración para incluir una actualización del módulo de
detección.
12. El sistema de la reivindicación 11, en el que
el módulo de selección está configurado además para:
aplicar el módulo de detección al archivo en
respuesta a la determinación de que la versión más reciente del
motor de exploración para explorar el archivo es una versión
anterior a la versión más reciente del motor de exploración para
incluir una actualización del módulo de detección.
13. El sistema de la reivindicación 12, que
además comprende un módulo (415) de actualización, en comunicación
con la base de datos y con el módulo de selección, y que está
configurado para actualizar el identificador de la versión más
reciente del motor de exploración para explorar el archivo para
indicar que la versión más reciente del motor de exploración para
explorar el archivo es la versión actual del motor de
exploración.
14. El sistema de la reivindicación 11, en el que
el módulo de selección está configurado además para aplicar el
módulo de detección al archivo en respuesta a una determinación
para un agente atacante respectivo de que la nueva función unívoca
y la función unívoca previamente generada no son idénticas.
15. El sistema de la reivindicación 14, en el que
un módulo (415) de actualización está configurado para actualizar
la base de datos para almacenar la nueva función unívoca de la
región crítica de objetivo viral.
16. Un sistema como el reivindicado en la
reivindicación 11, que comprende un conjunto de módulos simples
(420) de detección, operables para realizar exploraciones de alta
velocidad en el archivo.
17. Un medio informáticamente legible que
contiene instrucciones de código informático para controlar un
sistema para llevar a cabo todos los pasos de un procedimiento como
el reivindicado en una cualquiera de las reivindicaciones 1 a
10.
18. Una señal eléctrica que lleva instrucciones
implementables por un procesador para controlar un procesador para
que lleve a cabo el procedimiento de una cualquiera de las
reivindicaciones 1 a 10.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/266,365 US7337471B2 (en) | 2002-10-07 | 2002-10-07 | Selective detection of malicious computer code |
US266365 | 2002-10-07 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2257643T3 true ES2257643T3 (es) | 2006-08-01 |
Family
ID=32030342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES03256152T Expired - Lifetime ES2257643T3 (es) | 2002-10-07 | 2003-09-30 | Deteccion selectiva de codigos informaticos malignos. |
Country Status (5)
Country | Link |
---|---|
US (2) | US7337471B2 (es) |
EP (1) | EP1408393B1 (es) |
AT (1) | ATE319128T1 (es) |
DE (1) | DE60303753T2 (es) |
ES (1) | ES2257643T3 (es) |
Families Citing this family (87)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
US7565683B1 (en) | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
US7921450B1 (en) | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
US7631184B2 (en) * | 2002-05-14 | 2009-12-08 | Nicholas Ryan | System and method for imposing security on copies of secured items |
US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
US8006280B1 (en) | 2001-12-12 | 2011-08-23 | Hildebrand Hal S | Security system for generating keys from access rules in a decentralized manner and methods therefor |
US7178033B1 (en) | 2001-12-12 | 2007-02-13 | Pss Systems, Inc. | Method and apparatus for securing digital assets |
US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
USRE41546E1 (en) | 2001-12-12 | 2010-08-17 | Klimenty Vainstein | Method and system for managing security tiers |
US7681034B1 (en) | 2001-12-12 | 2010-03-16 | Chang-Ping Lee | Method and apparatus for securing electronic data |
US7783765B2 (en) | 2001-12-12 | 2010-08-24 | Hildebrand Hal S | System and method for providing distributed access control to secured documents |
US7478418B2 (en) * | 2001-12-12 | 2009-01-13 | Guardian Data Storage, Llc | Guaranteed delivery of changes to security policies in a distributed system |
US7930756B1 (en) | 2001-12-12 | 2011-04-19 | Crocker Steven Toye | Multi-level cryptographic transformations for securing digital assets |
US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
US7950066B1 (en) | 2001-12-21 | 2011-05-24 | Guardian Data Storage, Llc | Method and system for restricting use of a clipboard application |
US8176334B2 (en) | 2002-09-30 | 2012-05-08 | Guardian Data Storage, Llc | Document security system that permits external users to gain access to secured files |
US8613102B2 (en) | 2004-03-30 | 2013-12-17 | Intellectual Ventures I Llc | Method and system for providing document retention using cryptography |
US7512810B1 (en) | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
US7337471B2 (en) | 2002-10-07 | 2008-02-26 | Symantec Corporation | Selective detection of malicious computer code |
US7260847B2 (en) | 2002-10-24 | 2007-08-21 | Symantec Corporation | Antivirus scanning in a hard-linked environment |
US7836310B1 (en) | 2002-11-01 | 2010-11-16 | Yevgeniy Gutnik | Security system that uses indirect password-based encryption |
US7890990B1 (en) | 2002-12-20 | 2011-02-15 | Klimenty Vainstein | Security system with staging capabilities |
US7293290B2 (en) | 2003-02-06 | 2007-11-06 | Symantec Corporation | Dynamic detection of computer worms |
US7246227B2 (en) | 2003-02-10 | 2007-07-17 | Symantec Corporation | Efficient scanning of stream based data |
US7546638B2 (en) | 2003-03-18 | 2009-06-09 | Symantec Corporation | Automated identification and clean-up of malicious computer code |
US8707034B1 (en) | 2003-05-30 | 2014-04-22 | Intellectual Ventures I Llc | Method and system for using remote headers to secure electronic files |
US7739278B1 (en) | 2003-08-22 | 2010-06-15 | Symantec Corporation | Source independent file attribute tracking |
US7703140B2 (en) | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
US8127366B2 (en) | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
US7130981B1 (en) | 2004-04-06 | 2006-10-31 | Symantec Corporation | Signature driven cache extension for stream based scanning |
US7861304B1 (en) | 2004-05-07 | 2010-12-28 | Symantec Corporation | Pattern matching using embedded functions |
US7707427B1 (en) | 2004-07-19 | 2010-04-27 | Michael Frederick Kenrich | Multi-level file digests |
US7580993B2 (en) * | 2004-07-30 | 2009-08-25 | Sap Ag | Document broadcasting utilizing hashcodes |
EP1828902A4 (en) * | 2004-10-26 | 2009-07-01 | Rudra Technologies Pte Ltd | SYSTEM AND METHOD FOR IDENTIFYING AND REMOVING MALWARE ON A COMPUTER SYSTEM |
US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
US20060095964A1 (en) * | 2004-10-29 | 2006-05-04 | Microsoft Corporation | Document stamping antivirus manifest |
US20060101277A1 (en) * | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
US7904940B1 (en) * | 2004-11-12 | 2011-03-08 | Symantec Corporation | Automated environmental policy awareness |
US7591016B2 (en) * | 2005-04-14 | 2009-09-15 | Webroot Software, Inc. | System and method for scanning memory for pestware offset signatures |
US7571476B2 (en) * | 2005-04-14 | 2009-08-04 | Webroot Software, Inc. | System and method for scanning memory for pestware |
US7349931B2 (en) | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
US7895654B1 (en) | 2005-06-27 | 2011-02-22 | Symantec Corporation | Efficient file scanning using secure listing of file modification times |
US7975303B1 (en) | 2005-06-27 | 2011-07-05 | Symantec Corporation | Efficient file scanning using input-output hints |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US8060747B1 (en) | 2005-09-12 | 2011-11-15 | Microsoft Corporation | Digital signatures for embedded code |
US8255992B2 (en) * | 2006-01-18 | 2012-08-28 | Webroot Inc. | Method and system for detecting dependent pestware objects on a computer |
US8190902B2 (en) | 2006-02-27 | 2012-05-29 | Microsoft Corporation | Techniques for digital signature formation and verification |
US8205087B2 (en) | 2006-02-27 | 2012-06-19 | Microsoft Corporation | Tool for digitally signing multiple documents |
GB0605117D0 (en) * | 2006-03-14 | 2006-04-26 | Streamshield Networks Ltd | A method and apparatus for providing network security |
US8205261B1 (en) | 2006-03-31 | 2012-06-19 | Emc Corporation | Incremental virus scan |
US8443445B1 (en) | 2006-03-31 | 2013-05-14 | Emc Corporation | Risk-aware scanning of objects |
US7854006B1 (en) | 2006-03-31 | 2010-12-14 | Emc Corporation | Differential virus scan |
US20080022378A1 (en) * | 2006-06-21 | 2008-01-24 | Rolf Repasi | Restricting malicious libraries |
US8087084B1 (en) | 2006-06-28 | 2011-12-27 | Emc Corporation | Security for scanning objects |
US8122507B1 (en) * | 2006-06-28 | 2012-02-21 | Emc Corporation | Efficient scanning of objects |
US8151352B1 (en) * | 2006-07-14 | 2012-04-03 | Bitdefender IPR Managament Ltd. | Anti-malware emulation systems and methods |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
JP4998019B2 (ja) * | 2007-03-06 | 2012-08-15 | 富士通株式会社 | 状態表示制御装置 |
DE102008010790B4 (de) * | 2008-02-22 | 2015-09-10 | Fachhochschule Schmalkalden | Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten |
US8132258B1 (en) | 2008-06-12 | 2012-03-06 | Trend Micro Incorporated | Remote security servers for protecting customer computers against computer security threats |
US10262136B1 (en) * | 2008-08-04 | 2019-04-16 | Zscaler, Inc. | Cloud-based malware detection |
US8230510B1 (en) | 2008-10-02 | 2012-07-24 | Trend Micro Incorporated | Scanning computer data for malicious codes using a remote server computer |
US9292689B1 (en) | 2008-10-14 | 2016-03-22 | Trend Micro Incorporated | Interactive malicious code detection over a computer network |
TWI409665B (zh) * | 2008-10-23 | 2013-09-21 | Shrisinha Technology Corp | Enter the information instantly against the protection method and its hardware |
US8087081B1 (en) | 2008-11-05 | 2011-12-27 | Trend Micro Incorporated | Selection of remotely located servers for computer security operations |
US8813222B1 (en) | 2009-01-21 | 2014-08-19 | Bitdefender IPR Management Ltd. | Collaborative malware scanning |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
US8312548B1 (en) * | 2009-04-24 | 2012-11-13 | Network Appliance, Inc. | Volume metadata update system for antivirus attributes |
US9015840B2 (en) * | 2009-06-08 | 2015-04-21 | Clevx, Llc | Portable media system with virus blocker and method of operation thereof |
GB2471716A (en) * | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
EP2438511B1 (en) | 2010-03-22 | 2019-07-03 | LRDC Systems, LLC | A method of identifying and protecting the integrity of a set of source data |
US8566336B2 (en) | 2011-03-30 | 2013-10-22 | Splunk Inc. | File identification management and tracking |
US8548961B2 (en) | 2011-03-30 | 2013-10-01 | Splunk Inc. | System and method for fast file tracking and change monitoring |
GB2506622A (en) * | 2012-10-04 | 2014-04-09 | Ibm | Anti-virus data management |
RU2523112C1 (ru) * | 2012-12-25 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу |
US9792436B1 (en) * | 2013-04-29 | 2017-10-17 | Symantec Corporation | Techniques for remediating an infected file |
US9117081B2 (en) | 2013-12-20 | 2015-08-25 | Bitdefender IPR Management Ltd. | Strongly isolated malware scanning using secure virtual containers |
CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
RU2634175C2 (ru) * | 2015-12-18 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Способ выполнения антивирусных проверок |
GB2561562A (en) * | 2017-04-18 | 2018-10-24 | F Secure Corp | Method for detecting and preventing an attack |
US10903988B1 (en) | 2019-11-04 | 2021-01-26 | International Business Machines Corporation | Unique instruction identifier that identifies common instructions across different code releases |
Family Cites Families (82)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5212765A (en) | 1990-08-03 | 1993-05-18 | E. I. Du Pont De Nemours & Co., Inc. | On-line training neural network system for process control |
JP2501771B2 (ja) | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
US5398196A (en) | 1993-07-29 | 1995-03-14 | Chambers; David A. | Method and apparatus for detection of computer viruses |
JPH0778098A (ja) | 1993-09-08 | 1995-03-20 | Fujitsu Ltd | ファイル管理システム |
US5495607A (en) | 1993-11-15 | 1996-02-27 | Conner Peripherals, Inc. | Network management system having virtual catalog overview of files distributively stored across network domain |
US5475826A (en) | 1993-11-19 | 1995-12-12 | Fischer; Addison M. | Method for protecting a volatile file using a single hash |
US5572590A (en) | 1994-04-12 | 1996-11-05 | International Business Machines Corporation | Discrimination of malicious changes to digital information using multiple signatures |
US5613002A (en) * | 1994-11-21 | 1997-03-18 | International Business Machines Corporation | Generic disinfection of programs infected with a computer virus |
US6944555B2 (en) | 1994-12-30 | 2005-09-13 | Power Measurement Ltd. | Communications architecture for intelligent electronic devices |
US5675710A (en) | 1995-06-07 | 1997-10-07 | Lucent Technologies, Inc. | Method and apparatus for training a text classifier |
US5854916A (en) | 1995-09-28 | 1998-12-29 | Symantec Corporation | State-based cache for antivirus software |
US6006242A (en) | 1996-04-05 | 1999-12-21 | Bankers Systems, Inc. | Apparatus and method for dynamically creating a document |
US5884033A (en) | 1996-05-15 | 1999-03-16 | Spyglass, Inc. | Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions |
US5944821A (en) * | 1996-07-11 | 1999-08-31 | Compaq Computer Corporation | Secure software registration and integrity assessment in a computer system |
JPH1040197A (ja) | 1996-07-19 | 1998-02-13 | Fujitsu Ltd | 通信管理装置 |
US5832208A (en) | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US6072942A (en) | 1996-09-18 | 2000-06-06 | Secure Computing Corporation | System and method of electronic mail filtering using interconnected nodes |
US6167520A (en) | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
US5994821A (en) * | 1996-11-29 | 1999-11-30 | Matsushita Electric Industrial Co., Ltd. | Displacement control actuator |
US6125459A (en) | 1997-01-24 | 2000-09-26 | International Business Machines Company | Information storing method, information storing unit, and disk drive |
US6126459A (en) * | 1997-03-24 | 2000-10-03 | Ford Motor Company | Substrate and electrical connector assembly |
US5974549A (en) | 1997-03-27 | 1999-10-26 | Soliton Ltd. | Security monitor |
US6298351B1 (en) | 1997-04-11 | 2001-10-02 | International Business Machines Corporation | Modifying an unreliable training set for supervised classification |
US6357008B1 (en) | 1997-09-23 | 2002-03-12 | Symantec Corporation | Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases |
US6094731A (en) * | 1997-11-24 | 2000-07-25 | Symantec Corporation | Antivirus accelerator for computer networks |
US6021510A (en) | 1997-11-24 | 2000-02-01 | Symantec Corporation | Antivirus accelerator |
US6751789B1 (en) | 1997-12-12 | 2004-06-15 | International Business Machines Corporation | Method and system for periodic trace sampling for real-time generation of segments of call stack trees augmented with call stack position determination |
US6023723A (en) | 1997-12-22 | 2000-02-08 | Accepted Marketing, Inc. | Method and system for filtering unwanted junk e-mail utilizing a plurality of filtering mechanisms |
AU1907899A (en) | 1997-12-22 | 1999-07-12 | Accepted Marketing, Inc. | E-mail filter and method thereof |
US6052709A (en) | 1997-12-23 | 2000-04-18 | Bright Light Technologies, Inc. | Apparatus and method for controlling delivery of unsolicited electronic mail |
US6088803A (en) | 1997-12-30 | 2000-07-11 | Intel Corporation | System for virus-checking network data during download to a client device |
US6324649B1 (en) | 1998-03-02 | 2001-11-27 | Compaq Computer Corporation | Modified license key entry for pre-installation of software |
US6347310B1 (en) | 1998-05-11 | 2002-02-12 | Torrent Systems, Inc. | Computer system and process for training of analytical models using large data sets |
US6253169B1 (en) | 1998-05-28 | 2001-06-26 | International Business Machines Corporation | Method for improvement accuracy of decision tree based text categorization |
US6161130A (en) | 1998-06-23 | 2000-12-12 | Microsoft Corporation | Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set |
US6546416B1 (en) | 1998-12-09 | 2003-04-08 | Infoseek Corporation | Method and system for selectively blocking delivery of bulk electronic mail |
US6397200B1 (en) | 1999-03-18 | 2002-05-28 | The United States Of America As Represented By The Secretary Of The Navy | Data reduction system for improving classifier performance |
US6505167B1 (en) | 1999-04-20 | 2003-01-07 | Microsoft Corp. | Systems and methods for directing automated services for messaging and scheduling |
US6370526B1 (en) | 1999-05-18 | 2002-04-09 | International Business Machines Corporation | Self-adaptive method and system for providing a user-preferred ranking order of object sets |
US20020038308A1 (en) | 1999-05-27 | 2002-03-28 | Michael Cappi | System and method for creating a virtual data warehouse |
US6502082B1 (en) | 1999-06-01 | 2002-12-31 | Microsoft Corp | Modality fusion for object tracking with training system and method |
US6772346B1 (en) * | 1999-07-16 | 2004-08-03 | International Business Machines Corporation | System and method for managing files in a distributed system using filtering |
US7366702B2 (en) | 1999-07-30 | 2008-04-29 | Ipass Inc. | System and method for secure network purchasing |
US6442606B1 (en) | 1999-08-12 | 2002-08-27 | Inktomi Corporation | Method and apparatus for identifying spoof documents |
US6456991B1 (en) | 1999-09-01 | 2002-09-24 | Hrl Laboratories, Llc | Classification method and apparatus based on boosting and pruning of multiple classifiers |
US6424960B1 (en) | 1999-10-14 | 2002-07-23 | The Salk Institute For Biological Studies | Unsupervised adaptation and classification of multiple classes and sources in blind signal separation |
US6397215B1 (en) | 1999-10-29 | 2002-05-28 | International Business Machines Corporation | Method and system for automatic comparison of text classifications |
AU2099201A (en) | 1999-12-21 | 2001-07-03 | Tivo, Inc. | Intelligent system and methods of recommending media content items based on userpreferences |
US20020087649A1 (en) | 2000-03-16 | 2002-07-04 | Horvitz Eric J. | Bounded-deferral policies for reducing the disruptiveness of notifications |
US6842861B1 (en) * | 2000-03-24 | 2005-01-11 | Networks Associates Technology, Inc. | Method and system for detecting viruses on handheld computers |
US6973578B1 (en) | 2000-05-31 | 2005-12-06 | Networks Associates Technology, Inc. | System, method and computer program product for process-based selection of virus detection actions |
US6721721B1 (en) | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
US20020046207A1 (en) | 2000-06-30 | 2002-04-18 | Seiko Epson Corporation | Information distribution system, information distribution method, and computer program for implementing the method |
US6778986B1 (en) | 2000-07-31 | 2004-08-17 | Eliyon Technologies Corporation | Computer method and apparatus for determining site type of a web site |
US6886099B1 (en) | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
US6928555B1 (en) * | 2000-09-18 | 2005-08-09 | Networks Associates Technology, Inc. | Method and apparatus for minimizing file scanning by anti-virus programs |
AU2001296205A1 (en) | 2000-10-17 | 2002-04-29 | Shyne-Song Chuang | A method and system for detecting rogue software |
US20020147694A1 (en) | 2001-01-31 | 2002-10-10 | Dempsey Derek M. | Retraining trainable data classifiers |
US20020178375A1 (en) | 2001-01-31 | 2002-11-28 | Harris Corporation | Method and system for protecting against malicious mobile code |
US8949878B2 (en) | 2001-03-30 | 2015-02-03 | Funai Electric Co., Ltd. | System for parental control in video programs based on multimedia content information |
WO2002088943A1 (en) | 2001-04-27 | 2002-11-07 | W. Quinn, Inc. | Filter driver for identifying disk files by analysis of content |
US20020194489A1 (en) | 2001-06-18 | 2002-12-19 | Gal Almogy | System and method of virus containment in computer networks |
US7194625B2 (en) | 2001-06-19 | 2007-03-20 | Intel Corporation | Method and apparatus for authenticating registry information |
US7673342B2 (en) | 2001-07-26 | 2010-03-02 | Mcafee, Inc. | Detecting e-mail propagated malware |
US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
US7657935B2 (en) | 2001-08-16 | 2010-02-02 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
US20030033587A1 (en) | 2001-09-05 | 2003-02-13 | Bruce Ferguson | System and method for on-line training of a non-linear model for use in electronic commerce |
US8041803B2 (en) | 2001-09-26 | 2011-10-18 | Qurio Holdings, Inc. | Method and system for delivering files in digital file marketplace |
US20030110395A1 (en) | 2001-12-10 | 2003-06-12 | Presotto David Leo | Controlled network partitioning using firedoors |
US7159036B2 (en) | 2001-12-10 | 2007-01-02 | Mcafee, Inc. | Updating data from a source computer to groups of destination computers |
US7150043B2 (en) | 2001-12-12 | 2006-12-12 | International Business Machines Corporation | Intrusion detection method and signature table |
US20030115479A1 (en) | 2001-12-14 | 2003-06-19 | Jonathan Edwards | Method and system for detecting computer malwares by scan of process memory after process initialization |
US20030115458A1 (en) | 2001-12-19 | 2003-06-19 | Dongho Song | Invisable file technology for recovering or protecting a computer file system |
US20030154394A1 (en) | 2002-02-13 | 2003-08-14 | Levin Lawrence R. | Computer virus control |
US20030233352A1 (en) | 2002-03-21 | 2003-12-18 | Baker Andrey George | Method and apparatus for screening media |
US8924484B2 (en) | 2002-07-16 | 2014-12-30 | Sonicwall, Inc. | Active e-mail filter with challenge-response |
US6952779B1 (en) | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
US7337471B2 (en) | 2002-10-07 | 2008-02-26 | Symantec Corporation | Selective detection of malicious computer code |
US7249187B2 (en) | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
US7631353B2 (en) | 2002-12-17 | 2009-12-08 | Symantec Corporation | Blocking replication of e-mail worms |
JP3979285B2 (ja) | 2002-12-17 | 2007-09-19 | 株式会社日立製作所 | 情報処理システム |
JP4991283B2 (ja) | 2003-02-21 | 2012-08-01 | カリンゴ・インコーポレーテッド | コンテンツベースのアドレシングにおける追加ハッシュ関数 |
-
2002
- 2002-10-07 US US10/266,365 patent/US7337471B2/en active Active
-
2003
- 2003-09-30 AT AT03256152T patent/ATE319128T1/de not_active IP Right Cessation
- 2003-09-30 EP EP03256152A patent/EP1408393B1/en not_active Expired - Lifetime
- 2003-09-30 DE DE60303753T patent/DE60303753T2/de not_active Expired - Lifetime
- 2003-09-30 ES ES03256152T patent/ES2257643T3/es not_active Expired - Lifetime
-
2007
- 2007-09-30 US US11/864,999 patent/US7458099B1/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP1408393A3 (en) | 2004-11-24 |
DE60303753T2 (de) | 2006-12-28 |
US7337471B2 (en) | 2008-02-26 |
DE60303753D1 (de) | 2006-04-27 |
US20040068664A1 (en) | 2004-04-08 |
EP1408393A2 (en) | 2004-04-14 |
US7458099B1 (en) | 2008-11-25 |
ATE319128T1 (de) | 2006-03-15 |
EP1408393B1 (en) | 2006-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2257643T3 (es) | Deteccion selectiva de codigos informaticos malignos. | |
RU2607231C2 (ru) | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга | |
Konstantinou et al. | Metamorphic virus: Analysis and detection | |
US7409717B1 (en) | Metamorphic computer virus detection | |
US9135443B2 (en) | Identifying malicious threads | |
US7925888B1 (en) | Data driven detection of viruses | |
EP0951676B1 (en) | Method and apparatus for polymorphic virus detection | |
CA2759279C (en) | Digital dna sequence | |
EP0852763B1 (en) | Polymorphic virus detection method and system | |
US8352484B1 (en) | Systems and methods for hashing executable files | |
US8117433B2 (en) | Method and apparatus to prevent vulnerability to virus and worm attacks through instruction remapping | |
US7469419B2 (en) | Detection of malicious computer code | |
RU2634178C1 (ru) | Способ обнаружения вредоносных составных файлов | |
CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
Naidu et al. | A syntactic approach for detecting viral polymorphic malware variants | |
Piromsopa et al. | Survey of protections from buffer-overflow attacks | |
US8856921B1 (en) | Threat emergence date scan optimization to avoid unnecessary loading of scan engines | |
Guo et al. | A Research and Verification of MFC Framework-aware Virus Infection Technology | |
Wang et al. | A Multidisciplinary Approach for Online Detection of X86 Malicious Executables | |
Piromsopa | Secure bit: Buffer-overflow protection | |
Sharma | Dynamic Code Checksum Generator | |
Grebenyuk et al. | Mac OS X Malware Vulnerabilities (November 2008) |