JP2013508823A - リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 - Google Patents
リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 Download PDFInfo
- Publication number
- JP2013508823A JP2013508823A JP2012534401A JP2012534401A JP2013508823A JP 2013508823 A JP2013508823 A JP 2013508823A JP 2012534401 A JP2012534401 A JP 2012534401A JP 2012534401 A JP2012534401 A JP 2012534401A JP 2013508823 A JP2013508823 A JP 2013508823A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- file
- uniform resource
- resource locator
- prohibited
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 title claims abstract description 27
- 238000001514 detection method Methods 0.000 title 1
- 238000000034 method Methods 0.000 claims abstract description 289
- 230000008569 process Effects 0.000 claims abstract description 270
- 238000012544 monitoring process Methods 0.000 claims abstract description 35
- 238000004590 computer program Methods 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims description 14
- 230000009471 action Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 10
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
コンピュータ上のプロセスによるリンクファイルの生成を監視し、リンクファイルが悪意あるオブジェクトをターゲットとしているか、または悪意あるプロセスによって作成されているかに基づき対策プロセスを実行するための、コンピュータ記憶媒体上に符号化されたコンピュータプログラムを含む方法、システムおよび装置。一態様では、方法は、オブジェクトに向かうターゲットパスを含む第1ファイルの生成を監視すること、第1ファイルの生成の監視に応じて、ターゲットパスがユニフォームリソースロケータであるか否かを判断すること、ターゲットパスがユニフォームリソースロケータであるとの判断に応じて、第1ファイルを生成させたプロセスを識別すること、プロセスが禁止されたプロセスであるか否かを判断すること、プロセスが禁止されたプロセスであるとの判断に応じて、プロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行すること、プロセスが禁止されたプロセスではないとの判断に応じて、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断すること、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、プロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行することを含む。
Description
本明細書は、マルウェア対策ソフトウェアに関する。
本出願は、2009年10月15日に出願された米国特許出願第12/579,679号の優先権を主張する。
マルウェアは、例えばコンピュータウィルス、トロイの木馬、スパイウェア、および悪意あるアクティブコンテンツといったあらゆる種類の悪意あるソフトウェアのことである。マルウェアは、ウィルス感染した電子メールの添付ファイル、共有ファイル、または悪意あるウェブサイトを介して拡散することがある。マルウェアは、マルウェアをダウンロードするなど、悪意ある活動を実行させるリンクファイルを介して目立たない形で拡散することもある。
マルウェアはファイルに添付されることがあり、そのためウィルス感染したファイルが実行されると、マルウェアも実行され、例えば、ユーザによる認識や承諾なしに自己複製する。他のマルウェアはコンピュータのメモリをターゲットとし、コンピュータがファイルを開いたとき、修正したとき、または作成したときにファイルを感染させる。一部のマルウェアは、潜伏して存在し、存在の気配をまったく示さないことがある。例えば、キーキャプチャソフトウェア(key capture software)、モニタリングソフトウェアなどである。
マルウェア対策ソフトウェアは通常、悪意あるコードがないかコンピュータのメモリおよびディスクドライブをスキャンすることによって動作する。スキャンは、ファイルのシグネチャを既知のマルウェアのシグネチャと比較することによって実行できる。だが、マルウェア対策ソフトウェアが最新のシグネチャを欠いている場合、悪意あるプロセスおよびリンクが検出されない可能性がある。さらに、リンクを使用して、シグネチャが存在しない新たなマルウェアを、危険であることが分かっていない場所からダウンロードする恐れもある。こうした状況などでは、マルウェア対策ソフトウェアはコンピュータシステムへの損害を防止できない。
本明細書は、リンクファイルおよびリンクファイルを作成するプロセスの監視に基づく、マルウェアの検出およびマルウェアによる損害の防止に関する技術について説明する。
一般に、本明細書で説明する主題の革新的な一態様は、オブジェクトに向かうターゲットパスを含む第1ファイルの生成を監視するアクションと、第1ファイルの生成の監視に応じて、第1ファイルを生成させたプロセスを識別するアクションと、プロセスが禁止されたプロセスであるか否かを判断するアクションと、プロセスが禁止されたプロセスであるとの判断に応じて、禁止されたプロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行するアクションと、プロセスが禁止されたプロセスではないとの判断に応じて、ターゲットパスがユニフォームリソースロケータ(uniform resource locator : URL)であるか否かを判断するアクションと、ターゲットパスがユニフォームリソースロケータであるとの判断に応じて、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断するアクションと、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、第1ファイルに対して1つまたは複数の対策プロセスを実行するアクションとを含む方法で具現化されうる。本態様の他の実施態様は、コンピュータ可読記憶デバイス上に符号化された、本方法のアクションを実行するように構成された、対応するシステム、装置およびコンピュータプログラムを含む。
本明細書で説明する主題の別の革新的な態様は、オブジェクトに向かうターゲットパスを含む第1ファイルの生成を監視するアクションと、第1ファイルの生成の監視に応じて、ターゲットパスがユニフォームリソースロケータであるか否かを判断するアクションと、ターゲットパスがユニフォームリソースロケータであるとの判断に応じて、第1ファイルを生成させたプロセスを識別するアクションと、プロセスが禁止されたプロセスであるか否かを判断するアクションと、プロセスが禁止されたプロセスであるとの判断に応じて、プロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行するアクションと、プロセスが禁止されたプロセスではないとの判断に応じて、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断するアクションと、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、プロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行するアクションとを含む方法で具現化されうる。本態様の他の実施態様は、コンピュータ可読記憶デバイス上に符号化された、本方法のアクションを実行するように構成された、対応するシステム、装置およびコンピュータプログラムを含む。
本明細書で説明する主題の別の革新的な態様は、コンピュータプログラムと共に符号化されたコンピュータ記憶媒体で具現化することができ、このコンピュータプログラムは、データ処理装置によって実行されるとき、ユニフォームリソースロケータに基づきリクエストを生成する第1ファイルの生成を監視することと、第1ファイルの生成の監視に応じて、第1ファイルを生成させたプロセスを識別することと、プロセスが禁止されたプロセスであるか否かを判断することと、プロセスが禁止されたプロセスであるとの判断に応じて、プロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行することと、プロセスが禁止されたプロセスではないとの判断に応じて、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断することと、ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、プロセスおよび第1ファイルに対して1つまたは複数の対策プロセスを実行することとを含むオペレーションをデータ処理装置に実行させる命令を含む。
本明細書で説明する主題の特定の実施態様を実施して、以下の利点のうちの1つまたは複数を実現できる。コンピュータプロセスによって生成されたリンクファイルが検出され、リンクファイルまたはそれを生成したコンピュータプロセスがマルウェアであるか否かが判断される。かかるマルウェアがコンピュータシステムに損害をもたらすのを防止する。マルウェアをターゲットとするが、マルウェアではないコンピュータプロセスによって別途生成されるリンクファイルがコンピュータシステムに損害をもたらすのも防止する。
本明細書で説明する主題の1つまたは複数の実施態様の詳細を、添付の図面および以下の説明で示す。対象の他の特徴、態様および利点は、説明、図面および特許請求の範囲から明らかになろう。
様々な図面における同じ参照番号および表示は、同じ要素を示す。
図1は、コンピュータプロセスによるリンクファイルの生成に対する監視および対応を行うマルウェア対策プログラムの例を示すブロック図である。本明細書で使用する「マルウェア対策プログラム」は、任意の種類のマルウェア対策ソフトウェアであり、例えばウィルス対策ソフトウェアを含む。
図1に示すように、ドロッパープロセス104は、リンクファイル108を生成する。ドロッパープロセス104は、ドロッパーファイル102のインスタンスであるコンピュータプロセスである。本明細書で使用する「ドロッパーファイル」は、リンクファイルなどの別のファイルを生成するよう求める命令を含むコンピュータ実行可能命令を含む任意の種類のファイルまたは2進コードである。本明細書で使用する「リンクファイル」は、別のオブジェクトに向かうターゲットパスを包含するか、選択、アクセスまたはインスタンス化されるときに別のオブジェクトへのリクエストを生成する任意の種類のファイルまたは2進コードである。リンクファイル108に包含されるターゲットパス110は、ユニフォームリソースロケータ(URL)でありうる。ユニフォームリソースロケータは、コンピュータ上に位置するファイルなどのリソースの位置を識別する。URLが対応するリソースは、ネットワーク116上に位置するコンピュータ上に位置することがある。ネットワーク116は、インターネットなどの外部ネットワークまたはコンピュータデバイス100が位置するローカルエリアネットワークでありうる。したがって、リンクファイル108は、インターネット上またはコンピュータデバイス100が位置するローカルネットワーク116上に位置するファイルに対応するURLを含むターゲットパス110を包含することができる。あるいは、ターゲットパス110は、コンピュータデバイス100に保存されているローカルファイルに対応するURLを含むことができる。
図1にさらに示すように、マルウェア対策プログラム112は監視対策モジュール114を包含する。監視対策モジュール114はリンクファイルの108の生成がないか106を監視する。監視対策モジュール114はソフトウェアコードで具現化することができ、例えば、マルウェア対策プログラムの一部となるか、独自のプロセス、サービスなどを含む別個のプログラムとして独立して作動することができる。リンクファイル108の生成を検出したこと106に応じて、監視対策モジュール114はドロッパープロセス104およびドロッパーファイル102に関する情報を収集する。この情報はドロッパープロセス104の正体、ドロッパーファイル102の位置、およびリンクファイル108の位置を含む。
監視対策モジュール114は、ドロッパープロセス104、またはリンクファイル108が向かうか、リンクファイルがリクエストを生成するオブジェクトが禁止されている否かを判断し、これは図2および図3に例示されている。監視対策モジュール114は、例えばドロッパープロセス104に関連するドロッパーファイル102である実行可能機械コードを記述しているデータを含め、ドロッパープロセスを記述しているデータに基づき、ドロッパープロセス104が禁止されているか否かを判断する。監視対策モジュール114は判断を、ドロッパープロセスを記述しているデータと既知の禁止されたプロセスまたファイルを記述しているデータとの比較に基づいたものとすることができ、これは図4に例示されている。
さらに、監視対策モジュール114は、例えばURLなどのオブジェクトを記述しているデータに基づき、リンクファイル108が向かうか、リンクファイルがリクエストを生成するオブジェクトが禁止されているか否かを判断する。監視対策モジュール114は判断を、オブジェクトを記述しているデータと既知の禁止されたオブジェクトを記述しているデータとの比較に基づいたものとすることができ、これは図5に例示されている。こうした判断の結果に依拠して、監視対策モジュール114はドロッパープロセス104を終了させ、ドロッパーファイル102およびリンクファイル108に対して他の対策プロセスを実行することができ、これは図2および図3にさらに例示されている。
図2は、リンクファイルの生成に対する監視および対応を行い、対策プロセスを実行する例示的なプロセスを示す流れ図である。例示的なプロセス200は、マルウェア対策プログラム112、例えばウィルス対策ソフトウェアで実施すること、または独自のプロセス、サービスなどを備えた別個のプログラムとして独立して作動するソフトウェアコードで具現化することができる。
プロセス200はリンクファイルの生成を検出する(202)。例えば、コンピュータプロセスによるリンクファイルの生成は、「.lnk」拡張子を伴うファイルの生成に対する監視によって検出されることがある。例えばWindows(登録商標)では、プロセス200はWindows(登録商標) API(アプリケーションプログラミングインターフェース)ファイル生成呼び出しを傍受する「フック」を導入することができる。プロセスがファイルを生成すると、プロセス200はWindows(登録商標) API「CreateFile」呼び出しを傍受することによって生成を検出することができる(202)。
プロセス200は、リンクファイルを生成したプロセスを識別する(204)。プロセス200は、上記の例のように、Windows(登録商標) API呼び出しを傍受し、Windows(登録商標) API呼び出しを生成したプロセスに関する情報を収集することによって、リンクファイルを生成したプロセスを識別することができる。例えば、プロセス200は、プロセスのID、名称、ファイルパスなど、「CreateFile」Windows(登録商標) API呼び出しを生成したプロセスに関する情報を収集することができる。
プロセス200は、プロセスが禁止されたプロセスであるか否かを判断し(206)、これは図4にさらに例示されている。プロセスは、プロセスの作成元のファイルが禁止されているか否かに基づき、禁止されたプロセスであると確認されることがある。
プロセスが禁止されているとの判断に応じて、プロセス、プロセスに関連するファイル、およびプロセスによって生成されたリンクファイルに対して、1つまたは複数の対策プロセスが実行される(212)。対策プロセスは、例えばプロセスを終了させること、ならびにプロセスに関連する1つまたは複数のファイルおよびリンクファイルの削除、名称変更または隔離を含むことができる。プロセスを終了させることは、当該プロセスのみを終了させること、または当該プロセスおよび当該プロセスによって直接的および/または間接的に開始されたその他すべてのプロセスを終了させることを含みうる。プロセスに関連するファイルは、プロセスのインスタンス元の実行可能機械コードを包含するファイルを含むことができる。このファイルおよびリンクファイルは、削除に加えて名称変更も可能であり、それにより手動でクリーニング、削除またはその他の方法で処理されるまで使用不可になる。隔離は、プロセスのインスタンス元のファイルおよびリンクファイルを、将来のアクション実行まで安全に分離し、無効にすることを含むことができる。隔離の一例として、ファイルの暗号化、ファイルの名称変更、隔離用ディレクトリまたはフォルダへのファイルの移動がある。
あるいは、プロセスが禁止されていないと判断された場合、リンクファイルがターゲットURLをターゲットとしているか否かについての判断が行われる(208)。プロセス200はリンクファイルがターゲットURLをターゲットにしているか否かを、例えば、リンクファイルを構文解析し、URLを示すテキスト列またコードを検索することによって判断する。URLを示すテキスト列は、例えば「http://」で始まることがある。
別の実施態様では、プロセスが禁止されていないと判断された場合、リンクファイルがURLに対する、またはURLに基づくリクエストを生成するか否かについての判断が行われる。例えば、上記のようにファイルが構文解析されること、またはファイルが選択、アクセスもしくはインスタンス化されること、例えば保護されたエミュレーション領域で実行されることで、リンクファイルがURLに対する、またはURLに基づくリクエストを生成するか否かの判断が可能である。
リンクファイルがターゲットURLを包含しているとの判断に応じて、プロセス200は、URLが禁止されているか、または禁止されたオブジェクトを参照しているかを判断し(210)、これは図5にさらに例示されている。URLが禁止されるのは、例えば、URLが悪意あるウェブサイトまたはファイルのアドレスを指定している場合である。URLが禁止されているか、禁止されたオブジェクトを参照しているとプロセス200が判断した場合、上記のように1つまたは複数の対策プロセスが実行される(212)。
図3は、リンクファイルの生成に対する監視および対応を行い、対策プロセスを実行する別の例示的なプロセスを示す流れ図である。例示的なプロセス300は、マルウェア対策プログラム112、例えばウィルス対策ソフトウェアで実施すること、または独自のプロセス、サービスなどを備えた別個のプログラムとして独立して作動するソフトウェアコードで具現化することができる。
プロセス300はリンクファイルの生成を検出する(302)。リンクファイルの生成は、上記の例のように「.lnk」拡張子を伴うファイルの生成に対する監視によって、またはURLに対するリクエストもしくはURLに基づくリクエストを生成するファイルの位置に対する監視によって検出されることがある。リンクファイルの生成の検出(302)に応じて、プロセス300は、リンクファイルがターゲットURLを含むか否かを判断する(304)。リンクファイルがターゲットURLを含むとの判断に応じて、プロセス300は、リンクファイルを生成したプロセスを識別する(306)。プロセス300は、上記の例のように、「CreateFile」Windows(登録商標) API呼び出しを傍受し、Windows(登録商標) API呼び出しを生成したプロセスに関する情報を収集することによって、リンクファイルを生成したプロセスを識別することができる。
プロセス300は、プロセスが禁止されたプロセスであるか否かを判断し(308)、これは図4にさらに例示されている。プロセスは、プロセスの作成元のファイルが禁止されているか否かに基づき、禁止されたプロセスであると確認されることがある。プロセスが禁止されているとプロセス300が判断した場合、プロセスおよびリンクファイルに対して、1つまたは複数の対策プロセスが実行される。リンクファイルを生成したプロセスに対して実行される対策プロセスは、例えばプロセスを終了させること、ならびにプロセスのインスタンス元のファイルおよびプロセスに関連する1つまたは複数の他のファイルの削除、名称変更および隔離を含むことができる。リンクファイルに対して実行される対策プロセスは、例えばリンクファイルの削除、名称変更および隔離を含むことができる。
プロセス300は、プロセスが禁止されていないと判断した場合、URLが禁止されているか、または禁止されたオブジェクトを参照しているかを判断し(310)、これは図5にさらに例示されている。URLが禁止されている、または禁止されたオブジェクトを参照しているとプロセス300が判断した場合、リンクファイルを生成したプロセスおよびリンクファイルに対して1つまたは複数の対策プロセスが実行される(312)。
図4は、リンクファイルを生成したコンピュータプロセスが禁止されたプロセスであるか否かを判断するため、リモートコンピュータと通信するマルウェア対策プログラムの例のブロック図である。判断は、マルウェア対策プログラム112など、コンピュータデバイス100で実行されるプログラムによって行うことができる。例えば、監視対策モジュール114は、リンクファイルを生成したプロセスを識別し、プロセスを記述しているデータを生成してリモートコンピュータに送信し、プロセスが禁止されているか否かを示すデータを受信することができる。
この例示的な実施態様では、プロセスを記述しているデータ402が、禁止されたプロセスを記述しているデータのデータベースまたはその他の保存済み編集物406を包含するリモートコンピュータ404に送信される。リモートコンピュータ404は、マルウェア対策プログラムの提供者によって維持されうる。リモートコンピュータ404は、プロセスが禁止されたプロセスであるか否かを示すデータ408を返す。監視対策モジュール114は、リモートコンピュータ404から受信したデータ408に基づき、プロセスが禁止されたプロセスであるか否かを判断する。
シグネチャ402は、本発明の1つの例示的な実施態様によるプロセスを記述しているデータの一例である。シグネチャはデータパターンであり、単純な文字列またはバイト列であることが多く、特定のファイル、プロセス、その他の電子データを識別するために使用できる。シグネチャの例として、ファイルのハッシュやファイルの一部のハッシュがある。マルウェア対策プログラムは、例えばウィルスなどの特定のマルウェアの検出および位置特定、またはその他の方法によるサービス、プロセスもしくはファイルの識別のためにシグネチャを使用することができる。
図4に示すように、プロセスを記述しているシグネチャ402は、監視対策モジュール114によって生成され、リモートコンピュータ404に送信される。リモートコンピュータ404は受信したシグネチャ402を、データベースまたはその他の保存済み編集物406に包含されている禁止されたプロセスを記述しているデータと比較し、プロセスが禁止されたプロセスであるか否かを示すデータ408を返す。データベースまたはその他の保存済み編集物に包含されている禁止されたプロセスを記述しているデータは、禁止されたファイルのシグネチャを含みうる。受信したデータ408に基づき、監視対策モジュール114によって、リンクファイルを生成したプロセスが禁止されたプロセスであるか否かについて判断が行われる。
シグネチャ402は、リンクファイルを生成したプロセスを記述しているデータの一例である。例えば、プロセスのインスタンス元のファイルのようなプロセスに関連する実行可能機械コードなど、プロセスに関連する1つまたは複数のファイルのさらに完全なデータのコピーを含め、他のデータを生成し、使用して、プロセスが禁止されたプロセスであるか否かの判断を行うこともできる。
他の実施態様では、承認されたプロセスを記述しているデータのデータベースまたはその他の保存済み編集物406は、プロセスおよびマルウェア対策プログラムが作動しているコンピュータデバイス100にローカル保存されうる。すなわち、シグネチャ402を生成し、既知のマルウェアのような禁止されたプロセスのシグネチャのローカル保存済みデータベースまたはその他のローカル保存済み編集物と比較することができる。
図5は、リンクファイルが向かうオブジェクトが禁止されたオブジェクトであるか否かを判断するため、リモートコンピュータと通信するマルウェア対策プログラムの例のブロック図である。判断は、マルウェア対策プログラム112など、コンピュータデバイス100で実行されるプログラムによって行うことができる。例えば、監視対策モジュール114は、生成されているリンクファイルを識別し、リンクファイルのターゲットオブジェクトを記述しているデータを生成してリモートコンピュータに送信し、オブジェクトが禁止されているか否かを示すデータを受信することができる。
この例示的な実施態様では、プロセスを記述しているデータ502が、禁止されたオブジェクトを記述しているデータのデータベースまたはその他の保存済み編集物506を包含するリモートコンピュータ504に送信される。リモートコンピュータ504は、マルウェア対策プログラムの提供者によって維持されうる。リモートコンピュータ504は、オブジェクトが禁止されたオブジェクトであるか否かを示すデータ508を返す。リモートコンピュータ504から受信したデータ508に基づき、オブジェクトが禁止されたプロセスであるか否かについて判断が行われる。
URL502は、本発明の1つの例示的な実施態様によるオブジェクトを記述しているデータの一例である。図5に示すように、URL502は、監視対策モジュール114によってリモートコンピュータ504に送信される。リモートコンピュータ504は受信したURL502を、データベースまたはその他の保存済み編集物506に包含されている禁止されたオブジェクトを記述しているデータと比較し、オブジェクトが禁止されたオブジェクトであるか否かを示すデータ508を返す。データベースまたはその他の保存済み編集物に包含されている禁止されたオブジェクトを記述しているデータは、URLを含むことができる。受信したデータ508に基づき、監視対策モジュール114によって、リンクファイルによってターゲットにされているオブジェクトが禁止されているか否かについて判断が行われる。
他の実施態様では、承認されたプロセスを記述しているデータのデータベースまたはその他の保存済み編集物506は、リンクファイルを生成したプロセスおよびマルウェア対策プログラムが作動しているコンピュータデバイス100にローカル保存されうる。すなわちURL502を、禁止されたURLのローカル保存済みデータベースまたはその他のローカル保存済み編集物と比較することができる。
本明細書で説明する主題およびオペレーションの実施態様は、デジタル電子回路において、または本明細書で開示される構造およびその構造の同等物を含む、コンピュータソフトウェア、ファームウェアもしくはハードウェアにおいて、またはこれらのうちの1つもしくは複数の組み合わせで実施できる。本明細書で説明する主題の実施態様は、1つまたは複数のコンピュータプログラム、すなわち、データ処理装置による実行のため、またはデータ処理装置のオペレーションを制御するため、コンピュータ記憶媒体上に符号化されたコンピュータプログラム命令の1つまたは複数のモジュールとして実施できる。代替的にまたは追加として、プログラム命令は、人工生成の伝搬信号、例えば、データ処理装置による実行のため適切な受信機装置に送信する情報を符号化するため生成される、機械生成の電気信号、光信号または電磁信号に符号化できる。コンピュータ記憶媒体は、コンピュータ可読記憶デバイス、コンピュータ可読記憶基板、ランダムもしくは順次アクセスメモリアレイもしくはデバイス、またはこれらのうちの1つもしくは複数の組み合わせであること、またはこれらに含まれることがある。さらに、コンピュータ記憶媒体は伝搬信号ではないが、コンピュータ記憶媒体は、人工生成の伝搬信号に符号化されたコンピュータプログラム命令の発信元または宛先でありうる。コンピュータ記憶媒体はまた、1つまたは複数の別個の物理構成要素または媒体(例えば、複数のCD、ディスクまたはその他の記憶デバイス)であること、またはこれらに含まれることがある。
本明細書で説明するオペレーションは、1つまたは複数のコンピュータ可読記憶デバイスに保存されているか、他の発信元から受信したデータに対してデータ処理装置によって実行されるオペレーションとして実施できる。
「データ処理装置」という用語は、例えばプログラム可能プロセッサ、コンピュータ、チップ上のシステム、またはこれらの複数もしくは組み合わせを含む、データを処理するすべての種類の装置、デバイスおよび機械を包含する。装置は、専用論理回路、例えばFPGA(書き換え可能ゲートアレイ)またはASIC(アプリケーション専用集積回路)を含むことができる。この装置はまた、ハードウェアに加えて、問題のコンピュータプログラムの実行環境を作るコード、例えば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、クロスプラットフォーム実行時環境、仮想機械またはこれらの1つもしくは複数の組み合わせを構成するコードを含むことができる。装置および実行環境は、ウェブサービス、分散コンピューティング、グリッドコンピューティングインフラストラクチャなど様々な異なるコンピューティングモデルインフラストラクチャを実現することができる。
本明細書で説明するプロセスおよび論理フローを具現化するコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、スクリプトまたはコードとしても知られている)は、コンパイルまたは翻訳された言語、宣言形または手続き形の言語を含む任意の形式のプログラミング言語で書かれてよく、独立プログラムとしての形式、またはモジュール、コンポーネント、サブルーチン、オブジェクトもしくはコンピューティング環境での使用に適したその他のユニットとしての形式など、任意の形式で展開されてよい。コンピュータプログラムは、ファイルシステム内のファイルに対応しうるが、対応する必要はない。プログラムは、他のプログラムもしくはデータ(例えば、マーク付け言語文書に記憶される1つもしくは複数のスクリプト)を保持するファイルの一部、問題のプログラム専用の1つのファイル、または複数の調整されたファイル(例えば、1つもしくは複数のモジュール、サブプログラムもしくはコードの一部を記憶するファイル)に記憶できる。コンピュータプログラムは、1つのコンピュータ、または1つの場所に位置するか、もしくは複数の場所に分布し、通信ネットワークで相互接続された複数のコンピュータで実行されるよう展開できる。
本明細書で説明するプロセスおよび論理フローは、入力データに対するオペレーションおよび出力の生成によってアクションを実行する1つまたは複数のコンピュータプログラムを実行する1つまたは複数のプログラム可能プロセッサによって実行できる。プロセスおよび論理フローはまた、専用論理回路、例えばFPGA(書き換え可能ゲートアレイ)またはASIC(アプリケーション専用集積回路)によって実行可能であり、装置はまた、専用論理回路、例えばFPGAまたはASICとして実装可能である。
コンピュータプログラムの実行に適したプロセッサは、例えば、汎用および専用のマイクロプロセッサ、ならびに任意の種類のデジタルコンピュータのうちの任意の1つまたは複数のプロセッサを含む。一般に、プロセッサは、読み取り専用メモリまたはランダムアクセスメモリまたはその両方から命令およびデータを受信する。コンピュータの基本的要素は、命令に従いアクションを実行するプロセッサ、ならびに命令およびデータを記憶する1つまたは複数のメモリデバイスである。一般に、コンピュータはまた、データを記憶する1つもしくは複数の大容量記憶デバイス、例えば磁気ディスク、光磁気ディスクもしくは光ディスクを含み、またはかかる大容量記憶デバイスからデータを受信し、もしくはかかる大容量記憶デバイスにデータを転送し、もしくはその両方を行うように動作可能に結合される。しかし、コンピュータはかかるデバイスを備えている必要はない。さらに、コンピュータは、別のデバイス、例えば携帯電話、携帯情報端末(PDA)、携帯音声もしくは映像プレーヤー、ゲームコンソール、全地球測位システム(GPS)受信機、またはポータブル記憶デバイス(例えば、ユニバーサルシリアルバス(USB)フラッシュドライブ)などに組み込まれうる。コンピュータプログラム命令およびデータを記憶するのに適したデバイスは、あらゆる形式の不揮発性メモリ、媒体およびメモリデバイス、例えば、半導体メモリデバイス、例えば、EPROM、EEPROMおよびフラッシュメモリデバイス、磁気ディスク、例えば、内部ハードディスクまたは取り外し可能ディスク、光磁気ディスクならびにCD-ROMおよびDVD-ROMディスクを含む。プロセッサおよびメモリは専用論理回路によって補完され、または専用論理回路に組み込まれてよい。
ユーザとの対話を提供するため、本明細書で説明する主題の実施態様は、ユーザに情報を表示するための表示デバイス、例えば、CRT(ブラウン管)またはLCD(液晶ディスプレイ)モニタと、ユーザがコンピュータにインプットを提供できるキーボードおよびポインティングデバイス、例えば、マウスまたはトラックボールとを有するコンピュータで実施できる。他の種類のデバイスを使用してユーザと対話することも可能で、例えば、ユーザに提供されるフィードバックは、任意の形式の知覚フィードバック、例えば、視覚フィードバック、聴覚フィードバックまたは触覚フィードバックであってよく、ユーザからのインプットは、音響、音声または触覚インプットを含む任意の形式で受信できる。また、コンピュータは、ユーザによって使用されているデバイスにドキュメントを送信し、かかるデバイスからドキュメントを受信することによって、例えばユーザのクライアントデバイス上のウェブブラウザに、ウェブブラウザから受信したリクエストに応じてウェブページを送信することによって、ユーザと対話することができる。
本明細書で説明する主題の実施態様は、クライアントおよびサーバを含むコンピューティングシステムで実施できる。クライアントおよびサーバは、一般に互いに離れており、通常は通信ネットワークを介して対話する。クライアントとサーバとの関係は、それぞれのコンピュータで稼動し、互いにクライアント-サーバ関係を有するコンピュータプログラムによって生じる。
本明細書は多くの特定の実施詳細を含んでいるが、かかる詳細を、いずれかの発明または請求内容の範囲の限定と解釈すべきではなく、特定の発明の特定の実施態様に固有の特徴の説明と解釈すべきである。また、個別の実施態様との関連で本明細書において説明する一定の特徴はまた、1つの実施態様において組み合わせで実施できる。反対に、1つの実施態様との関連で説明する様々な特徴は、複数の実施態様で個別に、または任意の適切な副組み合わせで実施できる。さらに、特徴は一定の組み合わせで機能するものとして上述され、当初はそういうものとして請求されることもあるが、請求される組み合わせによる1つまたは複数の特徴は、場合によっては、当該組み合わせから取り除くことが可能であり、請求される組み合わせは副組み合わせまたは副組み合わせの変形を対象にしうる。
同様に、オペレーションは特定の順序で図面に示されているが、これについては、所望の結果を達成するために、かかるオペレーションを示された特定の順序でもしくは順次に実行すること、またはすべての示されたオペレーションを実行することを要求するものとして理解すべきではない。ある特定の状況では、多重タスク処理および並列処理が有利なこともある。また、上述の実施態様における様々なシステム構成要素の分離については、すべての実施態様でかかる分離を要求するものとして理解すべきではなく、説明されるプログラム構成要素およびシステムは一般に1つのソフトウェア製品への統合、または複数のソフトウェア製品へのパッケージ化が可能であると理解すべきである。
以上、対象の特定の実施態様について説明してきた。他の実施態様も、以下の特許請求の範囲内に入る。場合によっては、特許請求の範囲で列挙されるアクションは、異なる順序で実行可能であり、その場合でも所望の結果を達成できる。また、添付の図に記載のプロセスは、所望の結果を達成するために、必ずしも示された特定の順序または順次であることを要求しているわけではない。ある特定の実施態様では、多重タスク処理および並列処理が有利なこともある。
100 コンピュータデバイス
102 ドロッパーファイル
104 ドロッパープロセス
108 リンクファイル
110 ターゲットパス
112 マルウェア対策プログラム
114 監視対策モジュール
116 ネットワーク
200 プロセス
300 プロセス
402 データ、シグネチャ
404 リモートコンピュータ
406 データベースまたはその他の保存済み編集物
408 データ
502 データ、URL
504 リモートコンピュータ
506 データベースまたはその他の保存済み編集物
508 データ
102 ドロッパーファイル
104 ドロッパープロセス
108 リンクファイル
110 ターゲットパス
112 マルウェア対策プログラム
114 監視対策モジュール
116 ネットワーク
200 プロセス
300 プロセス
402 データ、シグネチャ
404 リモートコンピュータ
406 データベースまたはその他の保存済み編集物
408 データ
502 データ、URL
504 リモートコンピュータ
506 データベースまたはその他の保存済み編集物
508 データ
Claims (21)
- 第1コンピュータによって、オブジェクトに向かうターゲットパスを含む第1ファイルの生成を監視する段階と、
前記第1ファイルの前記生成の監視に応じて、
前記第1コンピュータによって、前記第1ファイルを生成させたプロセスを識別する段階と、
前記第1コンピュータによって、前記プロセスが禁止されたプロセスであるか否かを判断する段階と、
前記プロセスが禁止されたプロセスであるとの判断に応じて、前記第1コンピュータによって、前記プロセスおよび前記第1ファイルに対して1つまたは複数の対策プロセスを実行する段階と、
前記プロセスが禁止されたプロセスではないとの判断に応じて、前記第1コンピュータによって、前記ターゲットパスがユニフォームリソースロケータであるか否かを判断する段階と、
前記ターゲットパスがユニフォームリソースロケータであるとの判断に応じて、前記第1コンピュータによって、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断する段階と、
前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、前記第1コンピュータによって、前記第1ファイルに対して1つまたは複数の対策プロセスを実行する段階と
を含む、コンピュータ実施方法。 - 前記第1コンピュータによって、前記プロセスが禁止されたプロセスであるか否かを判断する段階が、
前記第1コンピュータによって、前記プロセスを記述しているデータを生成する段階と、
前記第1コンピュータによって、前記プロセスを記述している前記データを第2コンピュータに送信する段階と、
前記第1コンピュータによって、前記プロセスが禁止されたプロセスであるか否かを示すデータを前記第2コンピュータから受信する段階と、
前記第1コンピュータによって、前記第2コンピュータから受信した前記データに応じて、前記プロセスが禁止されたプロセスであるか否かを判断する段階と
を含む、請求項1に記載のコンピュータ実施方法。 - 前記プロセスを記述しているデータが前記第1プロセスに関連するシグネチャを含む、請求項2に記載のコンピュータ実施方法。
- 前記第1コンピュータによって、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断する段階が、
前記第1コンピュータによって、前記ユニフォームリソースロケータを記述しているデータを生成する段階と、
前記第1コンピュータによって、前記ユニフォームリソースロケータを記述している前記データを第2コンピュータに送信する段階と、
前記第1コンピュータによって、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを示すデータを前記第2コンピュータから受信する段階と、
前記第1コンピュータによって、前記第2コンピュータから受信した前記データに応じて、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断する段階と
を含む、請求項1に記載のコンピュータ実施方法。 - 前記プロセスに対して実行される前記1つまたは複数の対策プロセスが、
前記第1コンピュータによって、前記プロセスを終了させる段階、
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルを削除する段階、
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルの名称変更を行う段階、
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルを隔離する段階、および
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルを分析のため第2コンピュータに送信する段階
のうちの1つまたは複数を含む、請求項1に記載のコンピュータ実施方法。 - 前記第1ファイルに対して実行される前記1つまたは複数の対策プロセスが、
前記第1コンピュータによって、前記第1ファイルに関連する1つまたは複数のファイルを削除する段階、
前記第1コンピュータによって、前記第1ファイルに関連する1つまたは複数のファイルの名称変更を行う段階、および
前記第1コンピュータによって、前記第1ファイルに関連する1つまたは複数のファイルを隔離する段階
のうちの1つまたは複数を含む、請求項1に記載のコンピュータ実施方法。 - 前記第1ファイルがリンクファイルである、請求項1に記載のコンピュータ実施方法。
- 第1コンピュータによって、オブジェクトに向かうターゲットパスを含む第1ファイルの生成を監視する段階と、
前記第1ファイルの前記生成の監視に応じて、
前記第1コンピュータによって、前記ターゲットパスがユニフォームリソースロケータであるか否かを判断する段階と、
前記ターゲットパスがユニフォームリソースロケータであるとの判断に応じて、前記第1コンピュータによって、前記第1ファイルを生成させたプロセスを識別する段階と、
前記第1コンピュータによって、前記プロセスが禁止されたプロセスであるか否かを判断する段階と、
前記プロセスが禁止されたプロセスであるとの判断に応じて、前記第1コンピュータによって、前記プロセスおよび前記第1ファイルに対して1つまたは複数の対策プロセスを実行する段階と、
前記プロセスが禁止されたプロセスではないとの判断に応じて、前記第1コンピュータによって、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断する段階と、
前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、前記第1コンピュータによって、前記プロセスおよび前記第1ファイルに対して1つまたは複数の対策プロセスを実行する段階と
を含む、コンピュータ実施方法。 - 前記第1コンピュータによって、前記プロセスが禁止されたプロセスであるか否かを判断する段階が、
前記第1コンピュータによって、前記プロセスを記述しているデータを生成する段階と、
前記第1コンピュータによって、前記プロセスを記述している前記データを第2コンピュータに送信する段階と、
前記第1コンピュータによって、前記プロセスが禁止されたプロセスであるか否かを示すデータを前記第2コンピュータから受信する段階と、
前記第1コンピュータによって、前記第2コンピュータから受信した前記データに応じて、前記プロセスが禁止されたプロセスであるか否かを判断する段階と
を含む、請求項8に記載のコンピュータ実施方法。 - 前記プロセスを記述しているデータが前記プロセスに関連するシグネチャを含む、請求項9に記載のコンピュータ実施方法。
- 前記第1コンピュータによって、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断する段階が、
前記第1コンピュータによって、前記ユニフォームリソースロケータを記述しているデータを生成する段階と、
前記第1コンピュータによって、前記ユニフォームリソースロケータを記述している前記データを第2コンピュータに送信する段階と、
前記第1コンピュータによって、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを示すデータを前記第2コンピュータから受信する段階と、
前記第1コンピュータによって、前記第2コンピュータから受信した前記データに応じて、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断する段階と
を含む、請求項8に記載のコンピュータ実施方法。 - 前記プロセスに対して実行される前記1つまたは複数の対策プロセスが、
前記第1コンピュータによって、前記プロセスを終了させる段階、
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルを削除する段階、
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルの名称変更を行う段階、
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルを隔離する段階、および
前記第1コンピュータによって、前記プロセスに関連する1つまたは複数のファイルを分析のため第2コンピュータに送信する段階
のうちの1つまたは複数を含む、請求項8に記載のコンピュータ実施方法。 - 前記第1ファイルに対して実行される前記1つまたは複数の対策プロセスが、
前記第1コンピュータによって、前記第1ファイルに関連する1つまたは複数のファイルを削除する段階、
前記第1コンピュータによって、前記第1ファイルに関連する1つまたは複数のファイルの名称変更を行う段階、および
前記第1コンピュータによって、前記第1ファイルに関連する1つまたは複数のファイルを隔離する段階
のうちの1つまたは複数を含む、請求項8に記載のコンピュータ実施方法。 - 前記第1ファイルがリンクファイルである、請求項8に記載のコンピュータ実施方法。
- コンピュータプログラムと共に符号化されたコンピュータ記憶媒体であって、前記プログラムは、データ処理装置によって実行されるときに、
ユニフォームリソースロケータに基づきリクエストを生成する第1ファイルの生成を監視することと、
前記第1ファイルの前記生成の監視に応じて、
前記第1ファイルを生成させたプロセスを識別することと、
前記プロセスが禁止されたプロセスであるか否かを判断することと、
前記プロセスが禁止されたプロセスであるとの判断に応じて、前記プロセスおよび前記第1ファイルに対して1つまたは複数の対策プロセスを実行することと、
前記プロセスが禁止されたプロセスではないとの判断に応じて、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断することと、
前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるとの判断に応じて、前記プロセスおよび前記第1ファイルに対して1つまたは複数の対策プロセスを実行することと
を含むオペレーションを前記データ処理装置に実行させる命令を含む、コンピュータ記憶媒体。 - 前記プロセスが禁止されたプロセスであるか否かを判断することを含むオペレーションを前記データ処理装置に実行させる命令が、
前記プロセスを記述しているデータを生成することと、
前記プロセスを記述している前記データを第2コンピュータに送信することと、
前記プロセスが禁止されたプロセスであるか否かを示すデータを前記第2コンピュータから受信することと、
前記第2コンピュータから受信した前記データに応じて、前記プロセスが禁止されたプロセスであるか否かを判断することと
を含むオペレーションを前記データ処理装置に実行させる命令をさらに含む、請求項15に記載のコンピュータ記憶媒体。 - 前記プロセスを記述しているデータが前記プロセスに関連するシグネチャを含む、請求項16に記載のコンピュータ記憶媒体。
- 前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断することを含むオペレーションを前記データ処理装置に実行させる命令が、
前記ユニフォームリソースロケータを記述しているデータを生成することと、
前記ユニフォームリソースロケータを記述している前記データを第2コンピュータに送信することと、
前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを示すデータを前記第2コンピュータから受信することと、
前記第2コンピュータから受信した前記データに応じて、前記ユニフォームリソースロケータが禁止されたユニフォームリソースロケータであるか否かを判断することと
を含むオペレーションを前記データ処理装置に実行させる命令をさらに含む、請求項15に記載のコンピュータ記憶媒体。 - 前記プロセスに対して実行される前記1つまたは複数の対策プロセスが、
前記プロセスを終了させること、
前記プロセスに関連する1つまたは複数のファイルを削除すること、
前記プロセスに関連する1つまたは複数のファイルの名称変更を行うこと、
前記プロセスに関連する1つまたは複数のファイルを隔離すること、および
前記プロセスに関連する1つまたは複数のファイルを分析のために第2コンピュータに送信すること
のうちの1つまたは複数を含む、請求項15に記載のコンピュータ記憶媒体。 - 前記第1ファイルに対して実行される前記1つまたは複数の対策プロセスが、
前記第1ファイルに関連する1つまたは複数のファイルを削除すること、
前記第1ファイルに関連する1つまたは複数のファイルの名称変更を行うこと、および
前記第1ファイルに関連する1つまたは複数のファイルを隔離すること
のうちの1つまたは複数を含む、請求項15に記載のコンピュータ記憶媒体。 - 前記第1ファイルがリンクファイルである、請求項15に記載のコンピュータ記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/579,679 US8863282B2 (en) | 2009-10-15 | 2009-10-15 | Detecting and responding to malware using link files |
| US12/579,679 | 2009-10-15 | ||
| PCT/US2010/052892 WO2011047296A2 (en) | 2009-10-15 | 2010-10-15 | Detecting and responding to malware using link files |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013508823A true JP2013508823A (ja) | 2013-03-07 |
| JP5599892B2 JP5599892B2 (ja) | 2014-10-01 |
Family
ID=43876899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012534401A Active JP5599892B2 (ja) | 2009-10-15 | 2010-10-15 | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8863282B2 (ja) |
| EP (1) | EP2488985B1 (ja) |
| JP (1) | JP5599892B2 (ja) |
| CN (1) | CN102656593B (ja) |
| AU (1) | AU2010306623B2 (ja) |
| CA (1) | CA2777831C (ja) |
| WO (1) | WO2011047296A2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
| JP2020091626A (ja) * | 2018-12-05 | 2020-06-11 | コニカミノルタ株式会社 | データ処理装置及びデータ処理プログラム |
| US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9014023B2 (en) | 2011-09-15 | 2015-04-21 | International Business Machines Corporation | Mobile network services in a mobile data network |
| US8971192B2 (en) | 2011-11-16 | 2015-03-03 | International Business Machines Corporation | Data breakout at the edge of a mobile data network |
| US8639951B2 (en) * | 2011-12-19 | 2014-01-28 | International Business Machines Corporation | States for breakout appliance in a mobile data network |
| US9246933B1 (en) * | 2012-07-25 | 2016-01-26 | Symantec Corporation | Systems and methods for detecting malicious email attachments |
| US9489513B1 (en) * | 2013-06-25 | 2016-11-08 | Symantec Corporation | Systems and methods for securing computing devices against imposter processes |
| US20150113644A1 (en) * | 2013-10-21 | 2015-04-23 | Trusteer, Ltd. | Exploit Detection/Prevention |
| US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
| US9965627B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US11824878B2 (en) | 2021-01-05 | 2023-11-21 | Bank Of America Corporation | Malware detection at endpoint devices |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060015940A1 (en) * | 2004-07-14 | 2006-01-19 | Shay Zamir | Method for detecting unwanted executables |
| US20070067682A1 (en) * | 2005-08-24 | 2007-03-22 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| JP2007522582A (ja) * | 2004-02-17 | 2007-08-09 | マイクロソフト コーポレーション | 階段化されたオブジェクト関連の信用決定 |
| WO2009049556A1 (fr) * | 2007-10-15 | 2009-04-23 | Beijing Risinginternationalsoftware Co., Ltd. | Procédé et dispositif permettant d'empêcher l'utilisation de la faille de sécurité d'un navigateur |
| JP2009223375A (ja) * | 2008-03-13 | 2009-10-01 | Ntt Communications Kk | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム |
| JP2010140196A (ja) * | 2008-12-10 | 2010-06-24 | Lac Co Ltd | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
| JP2010182019A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 異常検知装置およびプログラム |
| JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) * | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) * | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) * | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) * | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US7363657B2 (en) * | 2001-03-12 | 2008-04-22 | Emc Corporation | Using a virus checker in one file server to check for viruses in another file server |
| US7260718B2 (en) * | 2001-04-26 | 2007-08-21 | International Business Machines Corporation | Method for adding external security to file system resources through symbolic link references |
| JP2003086233A (ja) | 2001-09-07 | 2003-03-20 | Mitsubishi Electric Corp | 平板型電池およびその製法 |
| US8032937B2 (en) | 2004-10-26 | 2011-10-04 | The Mitre Corporation | Method, apparatus, and computer program product for detecting computer worms in a network |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| KR100830434B1 (ko) | 2005-11-08 | 2008-05-20 | 한국정보보호진흥원 | 악성코드 수집 시스템 및 방법 |
| US8321941B2 (en) * | 2006-04-06 | 2012-11-27 | Juniper Networks, Inc. | Malware modeling detection system and method for mobile platforms |
| CN100485700C (zh) | 2006-08-11 | 2009-05-06 | 珠海金山软件股份有限公司 | 一种可对文件实时监控的防治计算机病毒的装置及其升级方法 |
| US20080104699A1 (en) * | 2006-09-28 | 2008-05-01 | Microsoft Corporation | Secure service computation |
| US9246938B2 (en) * | 2007-04-23 | 2016-01-26 | Mcafee, Inc. | System and method for detecting malicious mobile program code |
| US20090138969A1 (en) * | 2007-11-26 | 2009-05-28 | Kim Yun Ju | Device and method for blocking autorun of malicious code |
| US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| JP2010040196A (ja) | 2008-07-31 | 2010-02-18 | Dainippon Printing Co Ltd | 面光源装置および透過型表示装置 |
-
2009
- 2009-10-15 US US12/579,679 patent/US8863282B2/en not_active Expired - Fee Related
-
2010
- 2010-10-15 WO PCT/US2010/052892 patent/WO2011047296A2/en active Application Filing
- 2010-10-15 JP JP2012534401A patent/JP5599892B2/ja active Active
- 2010-10-15 EP EP10824187.8A patent/EP2488985B1/en active Active
- 2010-10-15 CN CN201080056250.7A patent/CN102656593B/zh active Active
- 2010-10-15 CA CA2777831A patent/CA2777831C/en active Active
- 2010-10-15 AU AU2010306623A patent/AU2010306623B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007522582A (ja) * | 2004-02-17 | 2007-08-09 | マイクロソフト コーポレーション | 階段化されたオブジェクト関連の信用決定 |
| US20060015940A1 (en) * | 2004-07-14 | 2006-01-19 | Shay Zamir | Method for detecting unwanted executables |
| US20070067682A1 (en) * | 2005-08-24 | 2007-03-22 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| WO2009049556A1 (fr) * | 2007-10-15 | 2009-04-23 | Beijing Risinginternationalsoftware Co., Ltd. | Procédé et dispositif permettant d'empêcher l'utilisation de la faille de sécurité d'un navigateur |
| US20100306851A1 (en) * | 2007-10-15 | 2010-12-02 | Jun Zhou | Method and apparatus for preventing a vulnerability of a web browser from being exploited |
| JP2011501280A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | ウェブブラウザの脆弱性が利用されることを防止する方法及び装置 |
| JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
| JP2009223375A (ja) * | 2008-03-13 | 2009-10-01 | Ntt Communications Kk | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム |
| JP2010140196A (ja) * | 2008-12-10 | 2010-06-24 | Lac Co Ltd | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
| JP2010182019A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 異常検知装置およびプログラム |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
| JP2020091626A (ja) * | 2018-12-05 | 2020-06-11 | コニカミノルタ株式会社 | データ処理装置及びデータ処理プログラム |
| JP7188037B2 (ja) | 2018-12-05 | 2022-12-13 | コニカミノルタ株式会社 | データ処理装置及びデータ処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2010306623A1 (en) | 2012-05-10 |
| EP2488985A2 (en) | 2012-08-22 |
| CA2777831A1 (en) | 2011-04-21 |
| CN102656593A (zh) | 2012-09-05 |
| EP2488985B1 (en) | 2020-01-01 |
| EP2488985A4 (en) | 2017-08-23 |
| JP5599892B2 (ja) | 2014-10-01 |
| US8863282B2 (en) | 2014-10-14 |
| CA2777831C (en) | 2017-06-27 |
| AU2010306623B2 (en) | 2014-10-16 |
| CN102656593B (zh) | 2015-11-25 |
| WO2011047296A3 (en) | 2011-10-13 |
| WO2011047296A2 (en) | 2011-04-21 |
| US20110093952A1 (en) | 2011-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5599892B2 (ja) | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 | |
| US10291634B2 (en) | System and method for determining summary events of an attack | |
| US10193906B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
| US10972488B2 (en) | Method and system for modeling all operations and executions of an attack and malicious process entry | |
| EP2839406B1 (en) | Detection and prevention of installation of malicious mobile applications | |
| US9135443B2 (en) | Identifying malicious threads | |
| US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
| US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
| EP2754081B1 (en) | Dynamic cleaning for malware using cloud technology | |
| US7934261B1 (en) | On-demand cleanup system | |
| US20190347413A1 (en) | Cloud based just in time memory analysis for malware detection | |
| KR101588542B1 (ko) | 멀웨어 위험 스캐너 | |
| Gandotra et al. | Integrated framework for classification of malwares | |
| EP2417552B1 (en) | Malware determination | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
| Mohata et al. | Mobile malware detection techniques | |
| Bhanu et al. | Protecting Android based applications from malware affected through SMS messages | |
| Kaur | Network Security: Anti-virus. | |
| Louk et al. | An effective framework of behavior detection-advanced static analysis for malware detection | |
| Adepu et al. | Network Malware Detection for Cloud Infrastructure | |
| Rani et al. | Malware detection techniques and tools for Android |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130228 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140210 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140508 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140714 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140813 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5599892 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |