RU2007140042A - METHOD AND SYSTEM FOR TREATING MALICIOUS PROGRAMS THAT PREVENT TREATMENT - Google Patents

METHOD AND SYSTEM FOR TREATING MALICIOUS PROGRAMS THAT PREVENT TREATMENT Download PDF

Info

Publication number
RU2007140042A
RU2007140042A RU2007140042/09A RU2007140042A RU2007140042A RU 2007140042 A RU2007140042 A RU 2007140042A RU 2007140042/09 A RU2007140042/09 A RU 2007140042/09A RU 2007140042 A RU2007140042 A RU 2007140042A RU 2007140042 A RU2007140042 A RU 2007140042A
Authority
RU
Russia
Prior art keywords
malware
computer
actions
blocking
malicious program
Prior art date
Application number
RU2007140042/09A
Other languages
Russian (ru)
Other versions
RU2363045C1 (en
Inventor
Михаил Александрович Павлющик (RU)
Михаил Александрович Павлющик
Original Assignee
ЗАО "Лаборатория Касперского" (RU)
ЗАО "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЗАО "Лаборатория Касперского" (RU), ЗАО "Лаборатория Касперского" filed Critical ЗАО "Лаборатория Касперского" (RU)
Priority to RU2007140042/09A priority Critical patent/RU2363045C1/en
Publication of RU2007140042A publication Critical patent/RU2007140042A/en
Application granted granted Critical
Publication of RU2363045C1 publication Critical patent/RU2363045C1/en

Links

Abstract

1. Способ лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом способ содержит этапы, на которых: ! (a) идентифицируют наличие вредоносной программы в компьютере; ! (b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы; ! (c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него; ! (d) перезагружают компьютер. ! 2. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в постоянную память. ! 3. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в системный реестр. ! 4. Способ по п.1, в котором упомянутые действия включают в себя блокировку запуска новых процессов. ! 5. Способ по п.1, в котором этап блокировки использует драйвер, загруженный в область ядра. ! 6. Способ по п.1, в котором этап идентификации использует сигнатурную идентификацию для обнаружения вредоносной программы. ! 7. Система лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом система содержит: ! (а) модуль обнаружения вредоносной программы для идентификации наличия вредоносной программы; ! (b) средство, установленное в области ядра, которое, после того как идентифицировано наличие вредоносной программы модулем обнаружения вредоносной программы, блокирует действия, которые разрешают одной активн1. A method for treating a malicious program in a computer having multiple copies of the same activated malicious program, wherein multiple copies control the existence of each of them, the method comprising the steps of:! (a) identify the presence of malware on the computer; ! (b) then block any actions that allow one active copy of the malware to activate another copy of the malware; ! (c) after which the malicious program code and links to it are deleted from the permanent storage device; ! (d) restart the computer. ! 2. The method according to claim 1, in which said actions include locking write to read-only memory. ! 3. The method according to claim 1, in which said actions include locking records in the system registry. ! 4. The method according to claim 1, in which the aforementioned actions include blocking the start of new processes. ! 5. The method according to claim 1, wherein the blocking step uses a driver loaded into the kernel area. ! 6. The method according to claim 1, wherein the identification step uses signature identification to detect malware. ! 7. The malware treatment system in a computer that has many copies of the same activated malware, while many copies control the existence of each of them, while the system contains:! (a) a malware detection module for identifying the presence of a malware; ! (b) means installed in the kernel area, which, after the malware has been identified by the malware detection module, blocks actions that allow one active

Claims (12)

1. Способ лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом способ содержит этапы, на которых:1. A method of treating a malicious program in a computer having multiple copies of the same activated malicious program, wherein multiple copies control the existence of each of them, the method comprising the steps of: (a) идентифицируют наличие вредоносной программы в компьютере;(a) identify the presence of malware on the computer; (b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;(b) then block any actions that allow one active copy of the malware to activate another copy of the malware; (c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него;(c) after which the malicious program code and links to it are deleted from the permanent storage device; (d) перезагружают компьютер.(d) restart the computer. 2. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в постоянную память.2. The method according to claim 1, in which said actions include locking write to read-only memory. 3. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в системный реестр.3. The method according to claim 1, in which said actions include locking records in the system registry. 4. Способ по п.1, в котором упомянутые действия включают в себя блокировку запуска новых процессов.4. The method according to claim 1, in which the aforementioned actions include blocking the start of new processes. 5. Способ по п.1, в котором этап блокировки использует драйвер, загруженный в область ядра.5. The method according to claim 1, wherein the blocking step uses a driver loaded into the kernel area. 6. Способ по п.1, в котором этап идентификации использует сигнатурную идентификацию для обнаружения вредоносной программы.6. The method according to claim 1, wherein the identification step uses signature identification to detect malware. 7. Система лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом система содержит:7. The malware treatment system in a computer that has multiple copies of the same activated malware, while multiple copies control the existence of each of them, while the system contains: (а) модуль обнаружения вредоносной программы для идентификации наличия вредоносной программы;(a) a malware detection module for identifying the presence of a malware; (b) средство, установленное в области ядра, которое, после того как идентифицировано наличие вредоносной программы модулем обнаружения вредоносной программы, блокирует действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;(b) means installed in the area of the kernel that, after malware has been identified by the malware detection module, blocks actions that allow one active copy of the malware to activate another copy of the malware; (c) средство для удаления с постоянного запоминающего устройства кода вредоносной программы и ссылок на него, после того как средство блокировки блокировало упомянутые действия; и(c) means for removing malicious code and links to it from the permanent storage device after the blocking means has blocked said actions; and (d) средство для перезагрузки компьютера, которое перезагружает компьютер после того, как упомянутое средство удаления удалило файл, содержащий исполняемый код вредоносной программы.(d) means for restarting the computer, which restarts the computer after said removal tool has deleted the file containing the executable code of the malicious program. 8. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки записей в постоянную память.8. The system according to claim 7, in which the said locking means is designed to lock records in read-only memory. 9. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки записи в системный реестр.9. The system according to claim 7, in which the said means of blocking is designed to block recording in the system registry. 10. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки запуска новых процессов.10. The system according to claim 7, in which the said means of blocking is designed to block the launch of new processes. 11. Система по п.7, в которой упомянутый модуль обнаружения вредоносных программ использует сигнатурную идентификацию для определения вредоносных программ.11. The system of claim 7, wherein said malware detection module uses signature identification to identify malware. 12. Машиночитаемый носитель для анализа подозрительных объектов на наличие вредоносных программ и имеющий исполняемую компьютером программу, при исполнении которой выполняют следующие этапы:12. A machine-readable medium for analyzing suspicious objects for malware and having a computer-executable program that, when executed, performs the following steps: (a) идентифицируют наличие вредоносной программы;(a) identify the presence of malware; (b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;(b) then block any actions that allow one active copy of the malware to activate another copy of the malware; (c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него и(c) after which the malware code and links to it are deleted from the permanent storage device; and (d) перезагружают компьютер.(d) restart the computer.
RU2007140042/09A 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment RU2363045C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2007140042/09A RU2363045C1 (en) 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2007140042/09A RU2363045C1 (en) 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment

Publications (2)

Publication Number Publication Date
RU2007140042A true RU2007140042A (en) 2009-05-10
RU2363045C1 RU2363045C1 (en) 2009-07-27

Family

ID=41019506

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2007140042/09A RU2363045C1 (en) 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment

Country Status (1)

Country Link
RU (1) RU2363045C1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2533303C2 (en) * 2012-04-19 2014-11-20 Хун-Чиэнь ЧОУ Antivirus computer system

Also Published As

Publication number Publication date
RU2363045C1 (en) 2009-07-27

Similar Documents

Publication Publication Date Title
RU2473122C2 (en) Trusted environment for malware detection
JP6388485B2 (en) Malware discovery method and system
US7971258B1 (en) Methods and arrangement for efficiently detecting and removing malware
US20170140150A1 (en) Malware Removal
US8495741B1 (en) Remediating malware infections through obfuscation
CN107330328B (en) Method and device for defending against virus attack and server
JP2019075000A5 (en)
CN101154253B (en) Computer security protection method and computer security protection instrument
CN114385189B (en) Function address space layout randomization method for deep embedded system
WO2014044187A2 (en) A method and device for checking and removing computer viruses
US9613212B2 (en) Execution profile assembly using branch records
KR100745639B1 (en) Method for protecting file system and registry and apparatus thereof
RU2007140042A (en) METHOD AND SYSTEM FOR TREATING MALICIOUS PROGRAMS THAT PREVENT TREATMENT
KR101311367B1 (en) Method and apparatus for diagnosing attack that bypass the memory protection
Grill et al. “Nice Boots!”-A Large-Scale Analysis of Bootkits and New Ways to Stop Them
CN109472139B (en) Method and system for preventing Lesox virus from secondarily encrypting host document
US9536090B2 (en) Method of defending a computer from malware
EP2729893B1 (en) Security method and apparatus
RU2014125113A (en) METHOD FOR DELAYING THE REMEDY OF THE Malicious Code
TWI499930B (en) Device and method for files scan
KR100613126B1 (en) Method and apparatus for deleting virus code, and information storage medium storing a program thereof
KR102298219B1 (en) Malicious kernel module detecting device and malicious kernel module detecting method
KR101001899B1 (en) Examining system for scanning hidden system objects and method thereof
CN107180189B (en) Method and device for hiding program process
WO2015043010A1 (en) Data processing method and apparatus, and electronic device