RU2012142156A

RU2012142156A - Способ защиты компьютерной системы от вредоносного программного обеспечения

Info

Publication number: RU2012142156A
Application number: RU2012142156/08A
Authority: RU
Inventors: Ярно НИЕМЕЛЯ; Микко ХЮППЁНЕН; Сентери КЕНГЕЗ
Original assignee: Ф-Секьюэ Корпорейшен
Priority date: 2010-03-15
Filing date: 2011-03-15
Publication date: 2014-04-20
Also published as: WO2011113807A1; RU2015136264A; CN102893289B; RU2015136264A3; US20110225655A1; EP2548150A1; RU2698776C2; US20160378985A1; RU2566329C2; US9858416B2; EP2548150B1; US9501644B2; CN102893289A

Abstract

1. Способ защиты неэмулируемой компьютерной системы от вредоносного программного обеспечения, которое пытается предотвратить обнаружение или анализ при его исполнении в эмулируемой компьютерной системе, включающий следующие шаги: определяют, следует ли идентифицировать исполняемый файл в качестве легитимного; и, если нет, выполняют исполняемый файл в неэмулируемой компьютерной системе с одновременным предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе.2. Способ по п.1, отличающийся тем, что шаг определения того, следует ли идентифицировать исполняемый файл в качестве легитимного, выполняют в компьютерной системе.3. Способ по п.1, отличающийся тем, что шаг определения того, следует ли идентифицировать исполняемый файл в качестве легитимного, заключает в себе любые из следующих шагов: определяют, содержится ли идентификатор исполняемого файла в базе данных, идентифицирующей легитимные исполняемые файлы, и, если да, идентифицируют исполняемый файл в качестве легитимного; определяют, содержится ли идентификатор исполняемого файла в базе данных, идентифицирующей запрещенные исполняемые файлы, и, если нет, идентифицируют исполняемый файл в качестве легитимного; определяют, содержится ли идентификатор исполняемого файла в базе данных, относящейся к исполняемым файлам, причем база данных включает параметр, указывающий на легитимность каждого исполняемого файла, и, если да, определяет, превышает ли параметр, связанный с исполняемым файлом, порог, при котором исполняемый файл считается легитимным.4. Способ по любому из предшествующих пунктов, отличающийся те

Claims

1. Способ защиты неэмулируемой компьютерной системы от вредоносного программного обеспечения, которое пытается предотвратить обнаружение или анализ при его исполнении в эмулируемой компьютерной системе, включающий следующие шаги: определяют, следует ли идентифицировать исполняемый файл в качестве легитимного; и, если нет, выполняют исполняемый файл в неэмулируемой компьютерной системе с одновременным предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе.

2. Способ по п.1, отличающийся тем, что шаг определения того, следует ли идентифицировать исполняемый файл в качестве легитимного, выполняют в компьютерной системе.

3. Способ по п.1, отличающийся тем, что шаг определения того, следует ли идентифицировать исполняемый файл в качестве легитимного, заключает в себе любые из следующих шагов: определяют, содержится ли идентификатор исполняемого файла в базе данных, идентифицирующей легитимные исполняемые файлы, и, если да, идентифицируют исполняемый файл в качестве легитимного; определяют, содержится ли идентификатор исполняемого файла в базе данных, идентифицирующей запрещенные исполняемые файлы, и, если нет, идентифицируют исполняемый файл в качестве легитимного; определяют, содержится ли идентификатор исполняемого файла в базе данных, относящейся к исполняемым файлам, причем база данных включает параметр, указывающий на легитимность каждого исполняемого файла, и, если да, определяет, превышает ли параметр, связанный с исполняемым файлом, порог, при котором исполняемый файл считается легитимным.

4. Способ по любому из предшествующих пунктов, отличающийся тем, что шаг предоставления исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе, включает следующие шаги: перехватывают заданную информацию, передаваемую между исполняемым файлом и компьютерной системой при выполнении исполняемого файла; отвечают на перехваченную информацию с помощью данных, указывающих на выполнение в эмулируемой компьютерной системе.

5. Способ по п.4, отличающийся тем, что заданная передаваемая информация включает любые вызовы функций, сообщения и события.

6. Машиночитаемый носитель с реализованной на нем компьютерной программой, содержащей средства компьютерного программного кода для реализации способа по любому из пп.1-5 при выполнении указанной программы на компьютере.

7. Неэмулируемая компьютерная система, включающая память, в которой хранится исполняемый файл; и процессор для определения того, следует ли идентифицировать исполняемый файл в качестве легитимного, и, если определено, что исполняемый файл не следует идентифицировать в качестве легитимного, для выполнения исполняемого файла в неэмулируемой компьютерной системе с одновременным предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе.

8. Компьютерная система по п.7, отличающаяся тем, что процессор выполнен с возможностью генерации сообщения для передачи серверу, причем сообщение включает исполняемый файл или идентификатор исполняемого файла, и с возможностью обработки ответа, полученного от сервера, чтобы определить, указывает ли он, что данный файл следует идентифицировать в качестве легитимного.

9. Компьютерная система по п.7, отличающаяся тем, что память выполнена с возможностью хранения базы данных, идентифицирующей легитимные исполняемые файлы, при этом процессор выполнен с возможностью определения, содержится ли идентификатор исполняемого файла в базе данных, идентифицирующей легитимные исполняемые файлы.

10. Компьютерная система по п.7, отличающаяся тем, что память выполнена с возможностью хранения базы данных, идентифицирующей запрещенные исполняемые файлы, при этом процессор выполнен с возможностью определения, содержится ли идентификатор исполняемого файла в базе данных, идентифицирующей запрещенные исполняемые файлы.

11. Компьютерная система по п.7, отличающаяся тем, что память выполнена с возможностью хранения базы данных, содержащей информацию, относящуюся к исполняемым файлам, причем база данных включает параметр, указывающий на легитимность каждого исполняемого файла, а процессор выполнен с возможностью определения, содержится ли идентификатор исполняемого файла в базе данных.

12. Компьютерная система по п.11, отличающаяся тем, что процессор выполнен с возможностью, если идентификатор исполняемого файла содержится в базе данных, относящейся к исполняемым файлам, определения, превышает ли параметр, связанный с исполняемым файлом, порог, при котором исполняемый файл считается легитимным.

13. Компьютерная система по любому из пп.7-12, отличающаяся тем, что процессор выполнен с возможностью перехвата заданной информации, передаваемой между исполняемым файлом и компьютерной системой при выполнении исполняемого файла, и с возможностью ответа на перехваченную информацию с помощью данных, указывающих на выполнение в эмулируемой компьютерной системе.

14. Способ обнаружения потенциального вредоносного программного обеспечения, включающий следующие шаги: выполняют исполняемый файл в неэмулируемой компьютерной системе с одновременным предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе; выполняют мониторинг поведения исполняемого файла; и определяют, соответствует ли это поведение ожидаемому поведению вредоносного программного обеспечения, работающего в эмулируемой компьютерной системе.

15. Способ по п.14, отличающийся тем, что шаг выполнения исполняемого файла с предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе, включает следующие шаги: выполняют исполняемый файл в неэмулируемой компьютерной системе; перехватывают заданную информацию, передаваемую между исполняемым файлом и компьютерной системой при выполнении исполняемого файла; отвечают на перехваченную информацию с помощью данных, указывающих на выполнение в эмулируемой компьютерной системе.

16. Способ по п.14, отличающийся тем, что шаг выполнения исполняемого файла с предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе, включает выполнение исполняемого файла в эмулируемой компьютерной системе.

17. Способ по любому из пп.14-16, отличающийся тем, что поведение, которое ожидают от вредоносного программного обеспечения, работающего в эмулируемой компьютерной системе, включает любые из следующих характеристик: пытается предотвратить исполнение, не предоставляя уведомления; пытается собрать информацию, относящуюся к эмулируемой компьютерной системе; и значительное отличие от поведения исполняемого файла в неэмулируемой компьютерной системе.

18. Машиночитаемый носитель с реализованной на нем компьютерной программой, содержащей средства компьютерного программного кода для реализации способа по любому из пп.14-17 при выполнении указанной программы на компьютере.

19. Неэмулируемая компьютерная система, включающая память, в которой хранится исполняемый файл; и процессор для выполнения исполняемого файла в неэмулируемой компьютерной системе с одновременным предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе, мониторинга поведения исполняемого файла и определения, соответствует ли это поведение ожидаемому поведению вредоносного программного обеспечения, работающего в эмулируемой компьютерной системе.

20. Способ ведения базы данных, содержащей информацию, относящуюся к исполняемым файлам, причем база данных включает параметры, указывающие на вероятность того, что исполняемый файл является вредоносным, для каждого исполняемого файла, с целью предоставления любому из множества компьютерных устройств возможности определить, следует ли идентифицировать исполняемый файл в качестве легитимного, включающий следующие шаги: при помощи сетевой услуги получают данные об исполняемом файле от компьютерного устройства из множества компьютерных устройств, которое выполнило исполняемый файл, используют эти данные для определения параметра, указывающего на вероятность того, что исполняемый файл является вредоносным, и предоставляют этот параметр любому из множества компьютерных устройств.

21. Способ по п.20, отличающийся тем, что данные об исполняемом файле включают любые из следующих типов данных: идентификатор компьютерного устройства, которое выполнило исполняемый файл; информацию о любом подозрительном поведении исполняемого файла, наблюдаемом компьютерным устройством, которое выполнило исполняемый файл; параметр, отражающий вероятность того, что исполняемый файл является вредоносным, определенную компьютерным устройством, которое выполнило исполняемый файл.

22. Способ по п.21, отличающийся тем, что шаг использования данных для определения параметра, представляющего вероятность того, что исполняемый файл является вредоносным, для каждого исполняемого файла, включает любые из следующих шагов: определяют, является ли доверенным каждое из компьютерных устройств, которое выполнило исполняемый файл, а также определяют параметр на основе количества или процентной доли доверенных компьютерных устройств, которые выполнили исполняемый файл; анализируют информацию о любом подозрительном поведении исполняемого файла, наблюдаемом компьютерным устройством, которое выполнило исполняемый файл, и определяют параметр на основе количественных показателей, типов и степени подозрительного поведения; сопоставляют параметры, определенные каждым компьютерным устройством, которое выполнило исполняемый файл.

23. Машиночитаемый носитель с реализованной на нем компьютерной программой, содержащей средства компьютерного программного кода для реализации способа по любому из пп.20-22 при выполнении указанной программы на компьютере.

24. Сервер для использования при ведении базы данных, содержащей информацию, относящуюся к исполняемым файлам, причем база данных включает параметры, указывающие на вероятность того, что исполняемый файл является вредоносным, для каждого исполняемого файла, с целью предоставления любому из множества компьютерных устройств возможности определить, следует ли идентифицировать исполняемый файл в качестве легитимного, причем сервер содержит приемник для получения данных об исполняемом файле от одного или более из множества компьютерных устройств, которые выполнили исполняемый файл; процессор для использования информации в целях определения параметра, указывающего на вероятность того, что исполняемый файл является вредоносным; передатчик для предоставления этого параметра одному или более из множества компьютерных устройств.