RU101232U1 - SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS - Google Patents

SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS Download PDF

Info

Publication number
RU101232U1
RU101232U1 RU2010119566/08U RU2010119566U RU101232U1 RU 101232 U1 RU101232 U1 RU 101232U1 RU 2010119566/08 U RU2010119566/08 U RU 2010119566/08U RU 2010119566 U RU2010119566 U RU 2010119566U RU 101232 U1 RU101232 U1 RU 101232U1
Authority
RU
Russia
Prior art keywords
treatment
tool
script
computer
user
Prior art date
Application number
RU2010119566/08U
Other languages
Russian (ru)
Inventor
Олег Владимирович Зайцев
Виталий Игоревич Денисов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2010119566/08U priority Critical patent/RU101232U1/en
Application granted granted Critical
Publication of RU101232U1 publication Critical patent/RU101232U1/en

Links

Landscapes

  • Stored Programmes (AREA)

Abstract

1. Система удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения, которая содержит: ! средство поддержки, предназначенное для получения и анализа журнала событий от компьютера пользователя и создания последовательности инструкций лечения компьютера пользователя, связанное со средством создания универсальных алгоритмов лечения, средством хранения инструкций, средством хранения шаблонов сценариев, средством верификации и средством выполнения сценария лечения; упомянутое средство создания универсальных алгоритмов лечения, предназначенное для анализа журнала событий и последовательности инструкций, полученных от упомянутого средства поддержки, и создания сценария лечения компьютера пользователя, при этом средство создания универсальных алгоритмов лечения связано со средством верификации, средством хранения шаблонов сценариев и средством хранения инструкций; упомянутое средство хранения инструкций предназначено для формирования сценариев лечения, а также для хранения набора определенных инструкций, необходимых для описания языка построения сценариев; упомянутое средство хранения шаблонов сценариев предназначено для хранения универсальных шаблонов, на основе которых создаются сценарии лечения; упомянутое средство верификации предназначено для проверки сценария лечения на предмет наличия ошибок; упомянутое средство выполнения сценария лечения предназначено для исполнения сценария лечения для удаления компонент вредоносного программного обеспечения на компьютере пользователя. ! 2. Система по п.1, в которой средство поддержки также предназначен� 1. The malware component removal system using the selected treatment scenario, which contains:! support tool designed to receive and analyze the event log from the user's computer and create a sequence of treatment instructions for the user's computer, associated with the tool for creating universal treatment algorithms, a tool for storing instructions, a tool for storing script templates, a verification tool, and a tool for executing a treatment script; said means of creating universal treatment algorithms for analyzing an event log and a sequence of instructions received from said support means and creating a treatment script for a user's computer, wherein means of creating universal treatment algorithms is associated with a verification tool, a means for storing script templates and a tool for storing instructions; said means for storing instructions is intended for generating treatment scenarios, as well as for storing a set of specific instructions needed to describe the scripting language; said means for storing script templates is intended for storing universal templates on the basis of which treatment scenarios are created; said means of verification is intended to check the treatment scenario for errors; said means for executing a treatment script is intended to execute a treatment script for removing malware components on a user's computer. ! 2. The system of claim 1, wherein the support tool is also intended�

Description

Область техникиTechnical field

Полезная модель относится к системам защиты от вредоносного программного обеспечения и, в частности, идентификации компонент вредоносного программного обеспечения. Она основана на автоматическом сборе статистических данных и лечении зараженных компьютерных систем.The utility model relates to systems for protection against malicious software and, in particular, to identify components of malicious software. It is based on the automatic collection of statistics and the treatment of infected computer systems.

Уровень техникиState of the art

В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а вследствие этого увеличивается вред, который данное ПО приносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении уже известных угроз. Однако новые угрозы появляются все чаще, и поэтому появляется необходимость в их методах распознавания. В связи с ростом коммуникационных сетей, таких как Интернет, постоянно увеличивается объем обмена данными, включая использование почтовых сообщений. Заражение компьютеров может происходить с помощью различных программ, таких как компьютерные вирусы или троянские программы.Currently, the spread of malware (hereinafter referred to as software) is increasing, and as a result, the harm that this software causes to computer systems is increasing. Existing systems for protecting personal computers, as well as computers in the corporate network, are based on the detection of already known threats. However, new threats appear more often, and therefore there is a need for their methods of recognition. Due to the growth of communication networks such as the Internet, the volume of data exchange, including the use of mail messages, is constantly increasing. Computer infections can occur with the help of various programs, such as computer viruses or trojans.

События, связанные с почтовыми атаками, имеют большие последствия как для поставщиков интернет-услуг (ISP), так и для множества других компаний, что доказывает необходимость улучшения стратегий обнаружения вредоносных атак.Events related to email attacks have significant consequences for both Internet Service Providers (ISPs) and many other companies, which proves the need for improved malware detection strategies.

С одной стороны для обнаружения вредоносных программ достаточно давно применяются системы, использующие сигнатуры. Когда шаблоны кода, которые были получены из известных вредоносных программ, и подозреваемые объекты сканируются на наличие в коде данных шаблонов. Одним из недостатков систем обнаружения с использованием сигнатур является то, что таким образом могут быть обнаружены только известные вредоносные программы. Все вредоносные программы, которые не были идентифицированы ранее как вредоносные, а также вредоносные программы, созданные после обновления баз сигнатур, не будут распознаны данной системой.On the one hand, systems that use signatures have long been used to detect malware. When code patterns that were obtained from known malware and suspected objects are scanned for the presence of patterns in the code. One of the drawbacks of signature-based detection systems is that only known malware can be detected in this way. All malicious programs that were not previously identified as malicious, as well as malicious programs created after updating the signature databases, will not be recognized by this system.

Антивирусные компании продолжают обновлять базы сигнатур вредоносных программ, помимо этого также создавая и базы программного обеспечения проверенных или надежных программ (или их исполняемых файлов), так называемые "белые списки" (whitelist), которые становятся все более популярными в виду постоянного роста количества вредоносных программ. Подобные списки можно составлять исходя из многих факторов: наличия электронной цифровой подписи или иных данных производителя, данных об источнике (откуда программа была получена), данных о связях программы (отношения родитель-ребенок), данных о версии программы (например, программу можно считать проверенной, исходя из того, что прошлая версия также была в списке проверенных программ), данных о переменных окружения (операционная система, параметры запуска) и т.д.Anti-virus companies continue to update malware signature databases, in addition to creating software databases for scanned or reliable programs (or their executable files), the so-called whitelists, which are becoming more and more popular due to the constant growth in the number of malware . Such lists can be compiled on the basis of many factors: the availability of an electronic digital signature or other data of the manufacturer, data on the source (where the program was received from), data on the program's relationships (parent-child relationship), data on the program version (for example, the program can be considered verified based on the fact that the previous version was also in the list of checked programs), data on environment variables (operating system, startup parameters), etc.

Для обнаружения вредоносных программ используются системы проверки целостности информации, которые обычно создают длинные списки модифицированных файлов после обновлений операционной системы, когда устанавливается много обновлений программ. Основной недостаток систем проверки целостности заключается в том, что система реагирует на все изменения в программе, хотя эти изменения могут и не быть вредоносными. Также пользователю сложно решить, является ли то или иное изменение атакой на компьютерную систему.To detect malware, information integrity verification systems are used, which usually create long lists of modified files after operating system updates, when many software updates are installed. The main disadvantage of integrity systems is that the system responds to all changes in the program, although these changes may not be harmful. It is also difficult for the user to decide whether this or that change is an attack on a computer system.

Системы обнаружения с использованием контрольной суммы для поиска вредоносных программ создают значение циклического кода избыточности (CRC) для каждого программного файла. Модификации программного файла будут обнаружены, если изменится значение CRC. Системы наблюдения контрольной суммы вместе с применением систем проверки целостности улучшают устойчивость общей системы. Тем не менее, системы наблюдения контрольной суммы имеют те же недостатки, как и системы проверки целостности, связанные с большим количеством ложных предупреждений при малейших изменениях данных.Detection systems using a checksum to search for malware generate a cyclic redundancy code (CRC) value for each program file. Modifications to the program file will be detected if the CRC value changes. Checksum monitoring systems along with the use of integrity systems improve the stability of the overall system. However, checksum monitoring systems have the same drawbacks as integrity verification systems, associated with a large number of false alarms at the slightest change in data.

В случае заражения компьютера вредоносной программой предусмотрены частные персональные решения для каждого компьютера. Такое персональное решение строится на сервере антивирусной компании на основе служебной информации о зараженной системе, передаваемой компьютером пользователя на сервер. Представленное решение является индивидуальным и предназначено для решения конкретной проблемы, возникшей на компьютере пользователя. Такое создание решения на основе заранее известных шаблонов раскрывается в патенте US 7346928, где описывается система, состоящая из сервера, который получает запросы от множества клиентов на проверку файлов на вирусы. Существуют также системы, которые сначала создают сценарий исследования зараженного компьютера, и на основании исследования создается сценарий лечения. В патенте US 7093239 описывается система анализа компьютера, созданная для обнаружения вредоносного кода. Система создает и последовательно анализирует шаблон поведения для каждой программы, установленной на компьютере. Шаблон поведения создается с помощью виртуальной машины. В патенте US 7631357 описывается система обнаружения и/или удаления руткитов. Для обнаружения создается «снимок» компьютерной системы пользователя с помощью утилиты, установленной на компьютере пользователя. Однако, несмотря на то, что решение создается для определенной проблемы и учитывает все особенности проблемной ситуации, существуют и недостатки. Такие микро-решения могут использоваться пользователем многократно, потому что пользователь не всегда задумывается о том, что данное решение индивидуально и не подходит для решения других проблем, пусть и довольно схожих. Пользователи могут передавать данные решения другим пользователям, у которых появилась похожая, но не абсолютно идентичная, проблема. При написании индивидуальных решений используется роль эксперта службы технической поддержки и, соответственно, существует вероятность допущения ошибки экспертом. Написание таких решений занимает длительное время работы эксперта, т.к. они пишутся индивидуально для каждого компьютера.In case of malware infection, private personal solutions are provided for each computer. Such a personal solution is built on the server of the anti-virus company on the basis of service information about the infected system transmitted by the user's computer to the server. The presented solution is individual and designed to solve a specific problem that arose on the user's computer. Such creation of a solution based on previously known patterns is disclosed in US 7346928, which describes a system consisting of a server that receives requests from multiple clients to scan files for viruses. There are also systems that first create a script for examining an infected computer, and based on the research, a treatment script is created. US Pat. No. 7,093,239 describes a computer analysis system designed to detect malicious code. The system creates and sequentially analyzes the behavior pattern for each program installed on the computer. A behavior pattern is created using a virtual machine. US 7631357 describes a system for detecting and / or removing rootkits. For detection, a “snapshot” of the user's computer system is created using the utility installed on the user's computer. However, despite the fact that a solution is created for a specific problem and takes into account all the features of the problem situation, there are also disadvantages. Such micro-solutions can be used by the user repeatedly, because the user does not always think that this solution is individual and not suitable for solving other problems, albeit rather similar. Users can transfer these solutions to other users who have a similar, but not absolutely identical, problem. When writing individual solutions, the role of the expert of the technical support service is used and, accordingly, there is the likelihood of an expert making a mistake. Writing such decisions takes a long time, because they are written individually for each computer.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно: автоматически создавать средства противодействия определенному типу вредоносных программ.An analysis of the prior art and the possibilities that appear when combining them in one system allows you to get a new result, namely: automatically create means of counteracting a certain type of malware.

Раскрытие полезной моделиUtility Model Disclosure

Настоящая полезная модель предназначена для автоматического создания средства противодействия определенному типу вредоносных программ.This useful model is designed to automatically create a means of counteracting a certain type of malware.

Техническим результатом является удаление компонент вредоносного программного обеспечения с помощью выбранного сценария лечения.The technical result is the removal of malicious software components using the selected treatment scenario.

Согласно одному объекту заявленной полезной модели предоставляется система удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения, которая содержит:According to one object of the claimed utility model, a malware removal system is provided using a selected treatment scenario that contains:

средство поддержки, предназначенное для получения и анализа журнала событий от компьютера пользователя и создания последовательности инструкций лечения компьютера пользователя, связанное со средством создания универсальных алгоритмов лечения, средством хранения инструкций, средством хранения шаблонов сценариев, средством верификации и средством выполнения сценария лечения;support tool designed to receive and analyze the event log from the user's computer and create a sequence of treatment instructions for the user's computer, associated with the tool for creating universal treatment algorithms, a tool for storing instructions, a tool for storing script templates, a verification tool, and a tool for executing a treatment script;

упомянутое средство создания универсальных алгоритмов лечения, предназначенное для анализа журнала событий и последовательности инструкций, полученных от упомянутого средства поддержки, и создания сценария лечения компьютера пользователя, при этом средство создания универсальных алгоритмов лечения связано со средством верификации, средством хранения шаблонов сценариев и средством хранения инструкций;said means of creating universal treatment algorithms for analyzing an event log and a sequence of instructions received from said support means and creating a treatment script for a user's computer, wherein means of creating universal treatment algorithms is associated with a verification tool, a means for storing script templates and a tool for storing instructions;

упомянутое средство хранения инструкций предназначено для формирования сценариев лечения, а также для хранения набора определенных инструкций, необходимых для описания языка построения сценариев;said means for storing instructions is intended for generating treatment scenarios, as well as for storing a set of specific instructions needed to describe the scripting language;

упомянутое средство хранения шаблонов сценариев предназначено для хранения универсальных шаблонов, на основе которых создаются сценарии лечения;said means for storing script templates is intended for storing universal templates on the basis of which treatment scenarios are created;

упомянутое средство верификации предназначено для проверки сценария лечения на предмет наличия ошибок;said means of verification is intended to check the treatment scenario for errors;

упомянутое средство выполнения сценария лечения предназначено для исполнения сценария лечения для удаления компонент вредоносного программного обеспечения на компьютере пользователя.said means for executing a treatment script is intended to execute a treatment script for removing malware components on a user's computer.

В частном варианте реализации средство поддержки также предназначено для получения журнала событий от компьютера пользователя, в котором зафиксирован список событий на компьютере пользователя.In a particular embodiment, the support tool is also intended to receive an event log from the user's computer, in which a list of events is recorded on the user's computer.

В частном варианте реализации средство создания универсальных алгоритмов лечения также предназначено для создания сценария лечения в виде последовательности инструкций на основе анализа журнала событий и последующего выбора шаблона сценария.In a particular embodiment, the tool for creating universal treatment algorithms is also intended to create a treatment scenario in the form of a sequence of instructions based on an analysis of the event log and the subsequent selection of a scenario template.

В частном варианте реализации средство выполнения сценария лечения также предназначено для сохранения сценария лечения в исполняемом файле.In a particular embodiment, the treatment script execution facility is also provided for storing the treatment script in an executable file.

В частном варианте реализации средство создания универсальных алгоритмов лечения также предназначено для сохранения созданных сценариев лечения.In a particular embodiment, the tool for creating universal treatment algorithms is also intended to save the created treatment scenarios.

В частном варианте реализации средство создания универсальных алгоритмов лечения также предназначено для передачи сценария лечения средству верификации на проверку сценария лечения на предмет наличия ошибок.In a particular embodiment, the tool for creating universal treatment algorithms is also intended to transmit the treatment scenario to the verification tool for checking the treatment scenario for errors.

В частном варианте реализации средство верификации также предназначено для запрета выполнения сценария, если обнаружены ошибки, представляющие угрозу компьютеру пользователя, и передаче средству поддержки сценария лечения и отчета об исследованных ошибках.In a particular embodiment, the verification tool is also designed to prohibit the execution of the script if errors are found that pose a threat to the user's computer, and transmitting to the support tool a treatment script and a report on the investigated errors.

В частном варианте реализации средство верификации также предназначено для разрешения выполнения сценария, если не обнаружены ошибки, представляющие угрозу компьютеру пользователя, и передаче средству поддержки сценария лечения.In a particular embodiment, the verification tool is also intended to permit the execution of the script if no errors are found that pose a threat to the user's computer and the treatment script is transmitted to the support tool.

В частном варианте реализации средство верификации также предназначено для синтаксической проверки сценария лечения и проверки на предмет опасных для компьютерной системы действий.In a particular embodiment, the verification tool is also intended to parse the treatment scenario and check for dangerous actions for the computer system.

В частном варианте реализации средство создания универсальных алгоритмов лечения также предназначено для создания сценария лечения в текстовом формате.In a particular embodiment, the tool for creating universal treatment algorithms is also intended to create a treatment script in text format.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present utility model will be apparent from reading the following description of the implementation of the utility model with reference to the accompanying drawings, in which:

Фиг.1 показывает примерный вариант реализации системы удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения.Figure 1 shows an exemplary embodiment of a malware component removal system using a selected treatment scenario.

Фиг.2 показывает примерный вариант реализации блок-схемы системы удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения.Figure 2 shows an exemplary embodiment of a block diagram of a malware component removal system using a selected treatment scenario.

Фиг.3 показывает примерный вариант реализации блок-схемы передачи данных между средствами системы.Figure 3 shows an exemplary embodiment of a block diagram of a data transmission between system tools.

Фиг.4 показывает примерный вариант реализации связи в системе удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения для реализации корпоративной сети.Figure 4 shows an exemplary embodiment of communication in a malware component removal system using a selected treatment scenario for implementing a corporate network.

Фиг.5 показывает примерный вариант реализации блок-схемы работы средства верификации.5 shows an exemplary embodiment of a flowchart of a verification tool.

Описание вариантов осуществления полезной моделиDescription of Embodiments of a Utility Model

Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели станут очевидными посредством отсылки к примерным вариантам реализации. Настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, она может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленными для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.Next, exemplary embodiments of the present utility model will be described with reference to the accompanying drawings. The objects and features of this utility model will become apparent by reference to exemplary embodiments. The present utility model is not limited to the exemplary implementation options disclosed below, it can be embodied in various forms. The entity defined in the description is nothing more than the specific details provided to assist the person skilled in the art in an exhaustive understanding of the utility model, and the present utility model is determined only in the scope of the attached formula.

Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).The present utility model is used in general-purpose computers, for example, ordinary computers or servers. Such computers contain a processor, system memory, and a system bus that connects various system components, including system memory, to the processor. A system bus can be one of several types of bus structure, including a memory bus or memory controller, a peripheral bus, and a local bus using any bus architecture. System memory includes read-only memory (ROM) and random access memory (RAM).

Базовая система ввода-вывода (BIOS) содержит основные программы, которые помогают передавать информацию между элементами компьютерной системы, и сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.The basic input / output system (BIOS) contains the basic programs that help transfer information between the elements of a computer system, and is stored in ROM. The computer may further comprise a hard disk drive for reading or writing to a hard disk, a magnetic disk drive for reading from or writing to a removable magnetic disk, and an optical disk drive for reading from or writing to a removable optical disk such as a CD-ROM DVD-ROM or other optical media.

Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.The hard disk drive, the magnetic disk drive, and the optical disk drive are also connected to the system bus through the hard disk drive interface, the magnetic disk drive interface, and the optical disk drive interface, respectively. Storage devices and related computer-readable media provide non-volatile storage of computer-readable instructions, data structures, program modules and other computer data.

Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативную память (RAM), постоянную память (ROM) и другие виды памяти.The computer may also contain magnetic cassettes, flash memory cards, digital video discs, Bernoulli cartridges, random access memory (RAM), read-only memory (ROM) and other types of memory.

Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows™ 2000). Компьютер включает в себя также файловую систему, связанную с/включенную в операционную систему, такую как Windows NT™ File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).A number of software modules may be stored on a hard disk, magnetic disk, optical disk, ROM or RAM, including an operating system (for example, Windows ™ 2000). The computer also includes a file system associated with / included in the operating system, such as the Windows NT ™ File System (NTFS), one or more application programs, other program modules and program data. The user can enter commands and information into the computer using input / output devices such as a keyboard and pointing device (mouse).

Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того, компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.Other input devices may include a microphone, joystick, game pad, satellite dish, scanner, or the like. These and other I / O devices are connected to the processor via the serial port interface, which is connected to the system bus. It should be noted that these devices can connect to other interfaces, such as a parallel port or universal serial port (USB). A monitor or other type of display device also connects to the system bus via an interface, such as a video adapter. In addition, the computer may include other peripheral output devices, such as speakers and printers.

Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.A computer using the claimed systems operates in a network environment using logical connections with one or more remote computers. The remote computer (or computers) can be other computers, servers, routers, network PCs, a peer device, or another common network node. This computer can be connected to a local area network (LAN) or to a wide area network (WAN), to a network in offices, the Internet or an Intranet.

Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. При применении в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединен с системной шиной через интерфейс последовательного порта.When the computer is used in a LAN network environment, the computer connects to the local network through a network interface or adapter. When used in a WAN network environment, a computer typically includes a modem or other means to establish communications over a wide area network such as the Internet. The modem, which can be internal or external, is connected to the system bus via the serial port interface.

Настоящая полезная модель описывает систему для автоматического создания средств противодействия определенному типу вредоносных программ.This useful model describes a system for automatically creating means to counter a certain type of malware.

Одно из направлений полезной модели - это система удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения. В соответствии с примером осуществления сценарии лечения автоматически создаются на основе информации, полученной от зараженного вредоносной программой компьютера пользователя.One of the directions of the utility model is a system for removing components of malicious software using the selected treatment scenario. In accordance with an embodiment, treatment scenarios are automatically generated based on information received from a user's computer infected with a malicious program.

Для автоматического создания сценариев лечения используется система удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения 100, изображенная на фиг.1. Представленная система 100 содержит компьютер пользователя 110, который передает средству поддержки 120 журнал событий, предназначенный для фиксирования списка событий на компьютере пользователя. Затем средство поддержки 120 на основе полученного журнала событий и с помощью средство хранения инструкций для формирования сценария лечения 135 создает последовательность инструкций для лечения компьютера пользователя 110. Методы формирования последовательности инструкций, в том числе и в виде сценариев, рассмотрены в таких патентах и заявках как ЕР0605166, JP 101493 01, JP2000222194, JP2001175481, KR20010076775. Средство хранения инструкций для формирования сценария лечения 135 содержит набор специальных инструкций, необходимых для описания языка построения сценариев. Далее средство поддержки передает средству создания универсальных алгоритмов лечения 130 последовательность инструкций и журнал событий, полученный от компьютера пользователя 110. Универсальность средства 130 заключается в том, что оно составляет решения для разных видов индивидуальных проблем автоматически. Средство создания универсальных алгоритмов лечения 130 на основе полученных данных выбирает шаблон сценария лечения из сценариев в средстве хранения шаблонов сценариев 145 и создает сценарий лечения. Анализ журнала событий может быть реализован в виде одного из способов, описанных в таких патентах и заявках как US5121475, JP3034038, JP7182210, US2003040889. Средство хранения шаблонов сценариев 145 содержит шаблоны, предназначенные для создания сценариев лечения для компьютера и представляющие собой шаблоны для решения типовых проблем. Шаблоны для решения типовых проблем могут быть сохранены в базе данных, такой как MySQL, DB2, PostgreSQL, SQLite. Созданный сценарий отправляется на проверку средству верификации 150. Средство верификации 150 проверяет сценарий лечения на наличие синтаксических ошибок (инструкции) и логических ошибок (последовательность инструкций) для того, чтобы выполнение сценария лечения на компьютере пользователя 110 не нанесло ему вреда. Также средство верификации 150 проверяет, не было ли в сценарии лечения удаления важных файлов. Например, если сценарий лечения удаляет файл «Explorer.exe», то средство верификации с большой вероятностью сочтет сценарий лечения ошибочным. Способы верификации (проверки) описаны в таких заявках и патентах как US2004044992, US2003028830, JP61023250, JP4151743, JP7283847. В случае, если проверка проходит успешно, то средство верификации 150 возвращает сценарий лечения средству создания универсальных алгоритмов лечения 130. Средство поддержки 120 может повлиять на работу средства хранения шаблонов сценариев 145 и на средство верификации 150, например, исправить или дополнить. Если средством 120 исправляется сценарий лечения, то оно отправляет исправленный сценарий лечения средству верификации 150. Если сценарий лечения содержит действия, способные причинить вред компьютерной системе, то средство верификации 150 добавляет этот случай в условия проверки и возвращает сценарий лечения и отчет об ошибке средству создания универсальных алгоритмов лечения 130. Средство создания универсальных алгоритмов лечения 130 исправляет сценарий лечения на основе отчета от средства верификации 130. В частном варианте реализации, а именно при невозможности автоматического исправления, сценарий лечения может быть исправлен экспертом 125. В случае создания успешного сценария лечения средство создания универсальных алгоритмов лечения 130 создает уникальное решение для компьютера в виде единственного исполняемого файла. Затем исполняемый файл передается средству поддержки, а через него средству выполнения сценария лечения на компьютере пользователя. Выполнение сценариев раскрывается в таких патентах как US5715386, JP9167085, JP9305381, US5754760, US6275868, US6332217. Преимущество сохранения сценария лечения в исполняемом файле заключается в том, что пользователь не сможет просмотреть или изменить сценарий лечения. Для защиты от пользователя существует возможность после исполнения непосредственно сценария лечения включить «самоуничтожение файла» или «блокировку». Таким образом, если в сценарий включено самоуничтожение файла, то средство выполнения сценария лечения сработает на компьютере пользователя только один раз. Если же включена блокировка, то средство выполнения сценария лечения будет выполняться только на том компьютере, для которого оно создавалось. Для реализации блокировки средства выполнения сценария лечения компьютеру 110 присваивается уникальный идентификатор, который формируется на основе данных о компьютере: серийного номера его диска, версии операционной системы, и т.д.To automatically create treatment scenarios, a malware component removal system is used using the selected treatment scenario 100, shown in FIG. The presented system 100 includes a user computer 110, which transmits to the support tool 120 an event log designed to record a list of events on the user's computer. Then, the support tool 120, based on the received event log and using the tool for storing the treatment scenario 135, creates a sequence of instructions for treating the user's computer 110. Methods for generating a sequence of instructions, including in the form of scripts, are discussed in patents and applications like EP0605166 , JP 101493 01, JP2000222194, JP2001175481, KR20010076775. An instruction storage means for generating a treatment scenario 135 contains a set of special instructions needed to describe a scripting language. Further, the support tool transmits to the tool for creating universal treatment algorithms 130 a sequence of instructions and an event log received from the computer 110 of the user. The universality of the tool 130 lies in the fact that it makes up solutions for different types of individual problems automatically. The tool for creating universal treatment algorithms 130, on the basis of the obtained data, selects a treatment scenario template from the scenarios in the scenario template storage tool 145 and creates a treatment scenario. Analysis of the event log can be implemented in the form of one of the methods described in patents and applications such as US5121475, JP3034038, JP7182210, US2003040889. The script template storage tool 145 contains patterns for creating treatment scripts for a computer, which are patterns for solving common problems. Templates for solving common problems can be stored in a database such as MySQL, DB2, PostgreSQL, SQLite. The created script is sent for verification to the verification tool 150. The verification tool 150 checks the treatment script for syntax errors (instructions) and logical errors (sequence of instructions) so that the execution of the treatment script on the user's computer 110 does not harm him. Verification tool 150 also checks to see if important files were deleted in the treatment script. For example, if a treatment script deletes the Explorer.exe file, then the verification tool is very likely to find the treatment script to be erroneous. Verification methods (checks) are described in such applications and patents as US2004044992, US2003028830, JP61023250, JP4151743, JP7283847. If the verification is successful, then the verification tool 150 returns the treatment script to the universal treatment algorithm creation tool 130. The support tool 120 may affect the operation of the script template storage tool 145 and the verification tool 150, for example, correct or supplement. If the treatment scenario is corrected by means 120, then it sends the corrected treatment scenario to verification tool 150. If the treatment scenario contains actions that can harm the computer system, then verification tool 150 adds this case to the verification conditions and returns the treatment scenario and error report to the universal creation tool treatment algorithms 130. The tool for creating universal treatment algorithms 130 corrects the treatment scenario based on a report from the verification tool 130. In a particular embodiment, Menno at impossibility of automatic correction, treatment of the script can be corrected by the expert 125. In case of a successful script treatment means creating universal treatment algorithms 130 creates a unique solution for your computer in the form of a single executable file. Then the executable file is transferred to the support tool, and through it to the treatment script execution tool on the user's computer. The execution of the scripts is disclosed in such patents as US5715386, JP9167085, JP9305381, US5754760, US6275868, US6332217. The advantage of saving the treatment script to an executable file is that the user will not be able to view or modify the treatment script. To protect against the user, it is possible, after executing the treatment script itself, to enable “file self-destruction” or “blocking”. Thus, if the self-destruction of a file is included in the script, the means of executing the treatment script will work on the user's computer only once. If the lock is enabled, then the treatment script execution tool will be executed only on the computer for which it was created. To implement the blocking of the tool for executing the treatment script, the computer 110 is assigned a unique identifier, which is generated on the basis of data about the computer: the serial number of its disk, version of the operating system, etc.

Представленная система является решением для лечения компьютера от характерных проблем. Фиг.2 иллюстрирует примерный алгоритм работы настоящей системы. На ней изображено создание и использование сценария лечения, который является одноразовым. При возникновении какой-либо проблемы на компьютере пользователя, связанной с вредоносным ПО, недостаточно выполнить только удаление вируса, т.к. остаются следы вируса, которые антивирусное приложение не в состоянии удалить. Поэтому пользователь отправляет журналы событий зараженной компьютерной системы службе поддержки на шаге 210. В этой ситуации средство поддержки должно создать последовательность инструкций на основе журнала событий на шаге 215, которая затем на шаге 220 передается средству создания универсальных алгоритмов лечения 130. Для формирования сценария лечения используются данные от средства хранения инструкция для формирования сценариев лечения 135. Сценарий лечения зашифровывается на шаге 225. На основе сценария с помощью шаблона сценариев от средства хранения шаблонов сценариев 145 средство создания универсальных алгоритмов лечения 130 создает исполняемый файл для решения этой характерной проблемы на шаге 230. Исполняемый файл строится всегда с разными антивирусными сигнатурами (т.е. у него нет статических сигнатур), что позволяет скрыть от внимания вредоносных программ такую сборку сценариев лечения, и они не могут заблокировать запуск представленного исполняемого файла. На шаге 235 средство создания универсальных алгоритмов лечения 130 отсылает файл пользователю. На шаге 240 пользователь запускает файл на зараженном компьютере. При этом вирус не может определить, что это приложение предназначено для лечения компьютерной системы, т.к. оно не устанавливается в папке антивирусного приложения, не содержит никаких идентификаторов антивирусного приложения (таких как имя антивирусного приложения в названии файла, или информации о создателе файла), не сохраняет дочерние файлы на диске. После завершения работы файла исследования собираются журналы событий и файла, которые затем на шаге 245 отправляются в службу поддержки без участия пользователя. Служба поддержки получает файлы от пользователя на шаге 250 и сохраняет их для дальнейшего исследования. После этого выполнение может продолжиться, начиная с шага 210.The presented system is a solution for treating a computer from typical problems. Figure 2 illustrates an exemplary algorithm of the present system. It depicts the creation and use of a treatment scenario that is one-off. If there is any problem on the user's computer related to malware, it is not enough to perform only virus removal, as there are traces of the virus that the antivirus application is not able to remove. Therefore, the user sends the event logs of the infected computer system to the support service at step 210. In this situation, the support tool should create a sequence of instructions based on the event log at step 215, which is then passed to the tool for creating universal treatment algorithms 130 in step 220. The data is used to generate a treatment scenario instructions from the storage facility for generating treatment scenarios 135. The treatment scenario is encrypted at step 225. Based on the script using the script template from To save script templates 145, the universal treatment algorithms creation tool 130 creates an executable file to solve this characteristic problem in step 230. The executable file is always built with different anti-virus signatures (that is, it does not have static signatures), which allows you to hide malware from attention such an assembly of treatment scenarios, and they cannot block the launch of the presented executable file. At step 235, the tool for creating universal treatment algorithms 130 sends the file to the user. At step 240, the user runs the file on the infected computer. Moreover, the virus cannot determine that this application is intended to treat a computer system, because it is not installed in the folder of the anti-virus application, does not contain any identifiers of the anti-virus application (such as the name of the anti-virus application in the file name, or information about the creator of the file), and does not save child files to disk. After the study file is completed, the event and file logs are collected, which are then sent to the support service in step 245 without user intervention. The support service receives files from the user in step 250 and saves them for further investigation. After that, execution may continue from step 210.

Система удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения, изображенная на фиг.3, является также инструментом портативной диагностики, работающим без участия пользователя. Прежде всего, создается пользовательский журнал событий на шаге 310, который затем отправляется службе поддержки на шаге 320. На основе журнала пишется сценарий исследования на шаге 330, который анализирует состояние компьютерной системы, для которой необходимо лечение. Сценарий исследования отправляется на компьютер пользователя на шаге 340. На шаге 350 выдаются данные от исполнения сценария исследования. На основании этих данных делается вывод о состоянии компьютера, на шаге 360, который затем предоставляется пользователю. Сценарий исследования является типовым и может практически не изменяться (изменяется только в случае изменения операционных систем, возникновения новых архитектурных решений, и т.д.). Подобные сценарии исследования могут также создаваться для автоматического карантина и сбора потенциально вредоносных шаблонов программ, очищения компьютерной системы от следов поведения вредоносных программ.The malware component removal system using the selected treatment scenario depicted in FIG. 3 is also a portable diagnostic tool operating without user intervention. First of all, a user-generated event log is created in step 310, which is then sent to the support service in step 320. Based on the log, a research script is written in step 330, which analyzes the state of the computer system for which treatment is necessary. The study script is sent to the user's computer in step 340. At step 350, data from the execution of the study script is output. Based on these data, a conclusion is made about the state of the computer at step 360, which is then provided to the user. The research scenario is typical and may practically not change (it changes only in case of changes in operating systems, the emergence of new architectural solutions, etc.). Similar research scenarios can also be created for automatic quarantine and collection of potentially harmful program templates, cleaning the computer system of traces of malicious program behavior.

Представленный вариант реализации системы удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения может быть использован при создании решения для администрирования корпоративных сетей, изображен на фиг.4. В состав антивирусной программы, установленной на компьютере средства администрирования 420 корпоративной сети 410, включается компонента, позволяющая организовывать и контролировать защиту в корпоративной сети 410. Для централизованной проверки компьютеров сети средство администрирования 420 отправляет запрос заранее предустановленным на компьютерах пользователей сетевым агентам 425 исполняемый файл 430, содержащий сценарий исследования, в виде задания. В свою очередь сетевой агент запускает этот файл и возвращает данные 440 средству администрирования (например, по электронной почте). Данный вариант реализации может применяться для массового обследования компьютеров в корпоративной сети 410. Плюсами такого применения являются работа сценария исследования без предварительной установки, наличие единственного исполняемого файла, и т.д.The presented embodiment of the malware component removal system using the selected treatment scenario can be used to create a solution for administering corporate networks, as shown in Fig. 4. The anti-virus program installed on the computer of the administration tool 420 of the corporate network 410 includes a component that allows you to organize and control the protection in the corporate network 410. For a centralized check of the network computers, the administration tool 420 sends a request to the network agents 425, pre-installed on the users computers, executable file 430, containing the research scenario, in the form of a task. In turn, the network agent runs this file and returns the 440 data to the administration tool (for example, by e-mail). This implementation option can be used for mass inspection of computers in a corporate network 410. The advantages of this application are the work of the research script without preliminary installation, the presence of a single executable file, etc.

Представленная система создает инструмент для всего процесса лечения на пользовательской компьютерной системе. На компьютере пользователя запускается единственный исполняемый файл. При этом исполняемый файл может находиться где угодно, т.е. как непосредственно на компьютере пользователя, так и запускаться с веб-страницы или из почтового сообщения.The presented system creates a tool for the entire treatment process on a user computer system. A single executable file is launched on the user's computer. In this case, the executable file can be located anywhere, i.e. either directly on the user's computer, or run from a web page or from a mail message.

Для того, чтобы защитить сценарий лечения от запуска на других компьютерах, существует возможность установления связи исполняемого файла с конкретным компьютером, для лечения которого предназначен исполняемый файл. Данный сценарий лечения после привязки к определенному компьютеру не запустится на других компьютерах и не сможет нанести вред другим компьютерным системам. Также представленный исполняемый файл со сценарием лечения может самоуничтожаться, или не допускать запуск два или более раза.In order to protect the treatment script from running on other computers, it is possible to establish the connection between the executable file and the specific computer for which the executable file is intended. This treatment scenario, after binding to a specific computer, will not start on other computers and will not be able to harm other computer systems. Also, the presented executable file with the treatment script can self-destruct, or prevent launching two or more times.

Система также содержит средство верификации, предназначенное для проверки сценария лечения на предмет синтаксической корректности и на предмет опасных для компьютерной системы логических ошибок. Блок-схема процесса верификации изображена на фиг.5. После того, как средство поддержки создает сценарий лечения, он отправляет его на проверку средству верификации на шаге 510. На шаге 520 средство верификации пропускает сценарий через набор синтаксических проверок. В случае, если на шаге 530 ошибки не обнаружены, то средство верификации проверяет сценарий пошагово на опасность для системы на шаге 540. Если на шаге 550 выявлены опасные операции, то средство верификации шифрует файл исследования на шаге 560. Затем на шаге 570 средство верификации разрешает выполнение сценария. Если на шаге 530 или на шаге 550 обнаружены опасные операции или ошибки, то средство верификации запрещает выполнение сценария лечения на шаге 535. Затем на шаге 545 средство верификации сохраняет условия, при которых возникает ошибка. На шаге 555 средство верификации отправляет сценарий средству создания универсальных алгоритмов лечения с отчетом об исследовании на наличие ошибок. На шаге 580 средство верификации завершает работу.The system also contains a verification tool designed to check the treatment scenario for syntactic correctness and for logical errors dangerous for the computer system. A flowchart of the verification process is shown in FIG. After the support tool creates a treatment script, it sends it for verification to the verification tool at step 510. At step 520, the verification tool passes the script through a set of syntax checks. If no errors were found in step 530, the verification tool checks the script step by step for the danger to the system in step 540. If dangerous operations are detected in step 550, the verification tool encrypts the investigation file in step 560. Then, in step 570, the verification tool resolves script execution. If dangerous operations or errors are detected in step 530 or in step 550, the verification tool prohibits the execution of the treatment scenario in step 535. Then, in step 545, the verification tool saves the conditions under which an error occurs. At step 555, the verification tool sends the script to the universal treatment algorithm generator with a study report for errors. At step 580, the verification tool terminates.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.In conclusion, it should be noted that the information given in the description are only examples that do not limit the scope of this utility model defined by the formula. The person skilled in the art will understand that there may be other options for implementing this utility model, consistent with the nature and scope of this utility model.

Claims (10)

1. Система удаления компонент вредоносного программного обеспечения с помощью выбранного сценария лечения, которая содержит:1. The malware component removal system using the selected treatment scenario, which contains: средство поддержки, предназначенное для получения и анализа журнала событий от компьютера пользователя и создания последовательности инструкций лечения компьютера пользователя, связанное со средством создания универсальных алгоритмов лечения, средством хранения инструкций, средством хранения шаблонов сценариев, средством верификации и средством выполнения сценария лечения; упомянутое средство создания универсальных алгоритмов лечения, предназначенное для анализа журнала событий и последовательности инструкций, полученных от упомянутого средства поддержки, и создания сценария лечения компьютера пользователя, при этом средство создания универсальных алгоритмов лечения связано со средством верификации, средством хранения шаблонов сценариев и средством хранения инструкций; упомянутое средство хранения инструкций предназначено для формирования сценариев лечения, а также для хранения набора определенных инструкций, необходимых для описания языка построения сценариев; упомянутое средство хранения шаблонов сценариев предназначено для хранения универсальных шаблонов, на основе которых создаются сценарии лечения; упомянутое средство верификации предназначено для проверки сценария лечения на предмет наличия ошибок; упомянутое средство выполнения сценария лечения предназначено для исполнения сценария лечения для удаления компонент вредоносного программного обеспечения на компьютере пользователя.support tool designed to receive and analyze the event log from the user's computer and create a sequence of treatment instructions for the user's computer, associated with the tool for creating universal treatment algorithms, a tool for storing instructions, a tool for storing script templates, a verification tool, and a tool for executing a treatment script; said means of creating universal treatment algorithms for analyzing an event log and a sequence of instructions received from said support means and creating a treatment script for a user's computer, wherein means of creating universal treatment algorithms is associated with a verification tool, a means for storing script templates and a tool for storing instructions; said means for storing instructions is intended for generating treatment scenarios, as well as for storing a set of specific instructions needed to describe the scripting language; said means for storing script templates is intended for storing universal templates on the basis of which treatment scenarios are created; said means of verification is intended to check the treatment scenario for errors; said means for executing a treatment script is intended to execute a treatment script for removing malware components on a user's computer. 2. Система по п.1, в которой средство поддержки также предназначено для получения журнала событий от компьютера пользователя, в котором зафиксирован список событий на компьютере пользователя.2. The system according to claim 1, in which the support tool is also designed to receive an event log from the user's computer, in which a list of events is recorded on the user's computer. 3. Система по п.1, в которой средство создания универсальных алгоритмов лечения также предназначено для создания сценария лечения в виде последовательности инструкций на основе анализа журнала событий и последующего выбора шаблона сценария.3. The system according to claim 1, in which the tool for creating universal treatment algorithms is also intended to create a treatment scenario in the form of a sequence of instructions based on an analysis of the event log and the subsequent selection of a scenario template. 4. Система по п.1, в которой средство выполнения сценария лечения также предназначено для сохранения сценария лечения в исполняемом файле.4. The system according to claim 1, in which the means of executing the treatment scenario is also intended to save the treatment scenario in an executable file. 5. Система по п.1, в которой средство создания универсальных алгоритмов лечения также предназначено для сохранения созданных сценариев лечения.5. The system according to claim 1, in which the tool for creating universal treatment algorithms is also designed to save the created treatment scenarios. 6. Система по п.1, в которой средство создания универсальных алгоритмов лечения также предназначено для передачи сценария лечения средству верификации на проверку сценария лечения на предмет наличия ошибок.6. The system according to claim 1, in which the tool for creating universal treatment algorithms is also intended to transmit the treatment scenario to the verification tool for checking the treatment scenario for errors. 7. Система по п.6, в которой средство верификации также предназначено для запрета выполнения сценария, если обнаружены ошибки, представляющие угрозу компьютеру пользователя, и передаче средству поддержки сценария лечения и отчета об исследованных ошибках.7. The system according to claim 6, in which the verification tool is also designed to prohibit the execution of the script if errors are found that pose a threat to the user's computer, and the transmission to the support tool of the treatment script and report on the investigated errors. 8. Система по п.6, в которой средство верификации также предназначено для разрешения выполнения сценария, если не обнаружены ошибки, представляющие угрозу компьютеру пользователя, и передаче средству поддержки сценария лечения.8. The system according to claim 6, in which the verification tool is also designed to permit the execution of the script, if no errors are found that pose a threat to the user's computer, and the transfer of the treatment script to the support tool. 9. Система по п.6, в которой средство верификации также предназначено для синтаксической проверки сценария лечения и проверки на предмет опасных для компьютерной системы действий.9. The system according to claim 6, in which the verification tool is also intended to syntactically verify the treatment scenario and check for dangerous actions for the computer system. 10. Система по п.1, в которой средство создания универсальных алгоритмов лечения также предназначено для создания сценария лечения в текстовом формате.
Figure 00000001
10. The system according to claim 1, in which the tool for creating universal treatment algorithms is also intended to create a treatment scenario in text format.
Figure 00000001
RU2010119566/08U 2010-05-18 2010-05-18 SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS RU101232U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010119566/08U RU101232U1 (en) 2010-05-18 2010-05-18 SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010119566/08U RU101232U1 (en) 2010-05-18 2010-05-18 SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS

Publications (1)

Publication Number Publication Date
RU101232U1 true RU101232U1 (en) 2011-01-10

Family

ID=44055138

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010119566/08U RU101232U1 (en) 2010-05-18 2010-05-18 SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS

Country Status (1)

Country Link
RU (1) RU101232U1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2486588C1 (en) * 2012-03-14 2013-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for efficient treatment of computer from malware and effects of its work
RU2510943C2 (en) * 2012-06-19 2014-04-10 Общество с ограниченной ответственностю "ВИЛДИС Технологии" Method and apparatus for express inspection of documents and bond paper with anti-counterfeit features

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2486588C1 (en) * 2012-03-14 2013-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for efficient treatment of computer from malware and effects of its work
US8752179B2 (en) 2012-03-14 2014-06-10 Kaspersky Lab Zao System and method for removal of malicious software from computer systems and management of treatment side-effects
RU2510943C2 (en) * 2012-06-19 2014-04-10 Общество с ограниченной ответственностю "ВИЛДИС Технологии" Method and apparatus for express inspection of documents and bond paper with anti-counterfeit features

Similar Documents

Publication Publication Date Title
US10467406B2 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
US20210067529A1 (en) System and method of adding tags for use in detecting computer attacks
US10382448B2 (en) Methods, systems and computer readable media for detecting command injection attacks
US8356354B2 (en) Silent-mode signature testing in anti-malware processing
Comparetti et al. Identifying dormant functionality in malware programs
RU2454705C1 (en) System and method of protecting computing device from malicious objects using complex infection schemes
RU2444056C1 (en) System and method of speeding up problem solving by accumulating statistical information
US8042186B1 (en) System and method for detection of complex malware
EP2786295B1 (en) Preventing execution of task scheduled malware
RU2487405C1 (en) System and method for correcting antivirus records
JP6134395B2 (en) System and method for risk-based rules for application control
US10917435B2 (en) Cloud AI engine for malware analysis and attack prediction
US20110283358A1 (en) Method and system to detect malware that removes anti-virus file system filter driver from a device stack
RU2697954C2 (en) System and method of creating antivirus record
JP2019530083A (en) Cybersecurity incident detection based on unexpected activity patterns
JP2017021777A (en) System and method for detecting harmful files executable on virtual stack machine
RU2661533C1 (en) System and method of detecting the signs of computer attacks
US9740865B2 (en) System and method for configuring antivirus scans
RU101233U1 (en) SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING
Zou et al. Automatic recognition of advanced persistent threat tactics for enterprise security
Mahmoud et al. APTHunter: Detecting advanced persistent threats in early stages
RU101232U1 (en) SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS
RU2662391C1 (en) System and method for checking web resources for presence of harmful inserts
RU96267U1 (en) SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS
Junnila Effectiveness of linux rootkit detection tools