RU2014121039A - SYSTEM AND METHOD FOR DETECTING MALICIOUS FILES OF A SPECIFIC TYPE - Google Patents

SYSTEM AND METHOD FOR DETECTING MALICIOUS FILES OF A SPECIFIC TYPE Download PDF

Info

Publication number
RU2014121039A
RU2014121039A RU2014121039/08A RU2014121039A RU2014121039A RU 2014121039 A RU2014121039 A RU 2014121039A RU 2014121039/08 A RU2014121039/08 A RU 2014121039/08A RU 2014121039 A RU2014121039 A RU 2014121039A RU 2014121039 A RU2014121039 A RU 2014121039A
Authority
RU
Russia
Prior art keywords
file
suspicious
format
virtual machine
suspicious file
Prior art date
Application number
RU2014121039/08A
Other languages
Russian (ru)
Other versions
RU2583712C2 (en
Inventor
Вячеслав Владимирович Закоржевский
Евгений Алексеевич Асеев
Андрей Владимирович Крюков
Антон Михайлович Иванов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014121039/08A priority Critical patent/RU2583712C2/en
Publication of RU2014121039A publication Critical patent/RU2014121039A/en
Application granted granted Critical
Publication of RU2583712C2 publication Critical patent/RU2583712C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/16Protection against loss of memory contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

1. Способ создания сигнатуры для обнаружения вредоносных файлов определенного формата, при этом способ содержит этапы на которых:а) обнаруживают подозрительный файл;б) распознают формат подозрительного файла;в) проверяют файл с помощью антивируса с учетом распознанного формата подозрительного файла;г) проверяют подозрительный файл с помощью виртуальной машины в том случае, если подозрительный файл не является безопасным или вредоносным после его проверки антивирусом, при этом проверка с помощью виртуальной машины включает открытие подозрительного файла в рамках виртуальной машины с помощью программы, поддерживающий распознанный формат подозрительного файла;д) производят анализ результатов проверки подозрительного файла с помощью виртуальной машины;е) создают сигнатуру для обнаружения подозрительного файла, если анализ результатов показал, что подозрительный файл является вредоносным, при этом сигнатура создается на основании данных о распознанном формате файла.2. Способ по п. 1, в котором файл является подозрительным, по меньшей мере, по одному из критериев: файл имеет определенный рейтинг опасности; файл был получен из недоверенного источника и помещен в карантин; файл содержит вложенные ссылки или сценарии; при открытии файла происходит запуск недоверенной программы.3. Способ по п. 1, в котором распознают формат подозрительного файла на основании, по меньшей мере, одного из: анализа заголовка файла, энтропии значения байт файла.4. Способ по п. 1, в котором конфигурация виртуальной машины может включать различные варианты операционной системы, установленной в виртуальной машине, и установленных прогр1. A method of creating a signature for detecting malicious files of a certain format, the method comprising the steps of: a) detecting a suspicious file; b) recognizing the format of the suspicious file; c) checking the file using antivirus software taking into account the recognized format of the suspicious file; d) checking a suspicious file using a virtual machine if the suspicious file is not safe or malicious after being scanned by an antivirus, while scanning with a virtual machine includes opening a malicious file within a virtual machine using a program that supports the recognized format of a suspicious file; e) analyze the results of a scan of a suspicious file using a virtual machine; f) create a signature to detect a suspicious file if analysis of the results showed that the suspicious file is malicious, This signature is created based on the data on the recognized file format. 2. The method according to claim 1, wherein the file is suspicious according to at least one of the criteria: the file has a certain hazard rating; The file was obtained from an untrusted source and quarantined. file contains nested links or scripts; when opening a file, an untrusted program starts. 3. The method according to claim 1, wherein the format of the suspicious file is recognized based on at least one of: analysis of the file header, entropy of the byte value of the file. The method of claim 1, wherein the configuration of the virtual machine may include various versions of the operating system installed in the virtual machine and installed programs

Claims (12)

1. Способ создания сигнатуры для обнаружения вредоносных файлов определенного формата, при этом способ содержит этапы на которых:1. A method of creating a signature for detecting malicious files of a specific format, the method comprising the steps of: а) обнаруживают подозрительный файл;a) detect a suspicious file; б) распознают формат подозрительного файла;b) recognize the format of the suspicious file; в) проверяют файл с помощью антивируса с учетом распознанного формата подозрительного файла;c) scan the file using antivirus software, taking into account the recognized format of the suspicious file; г) проверяют подозрительный файл с помощью виртуальной машины в том случае, если подозрительный файл не является безопасным или вредоносным после его проверки антивирусом, при этом проверка с помощью виртуальной машины включает открытие подозрительного файла в рамках виртуальной машины с помощью программы, поддерживающий распознанный формат подозрительного файла;d) they scan a suspicious file using a virtual machine if the suspicious file is not safe or malicious after being scanned by antivirus software, while scanning with a virtual machine involves opening a suspicious file within the virtual machine using a program that supports the recognized format of the suspicious file ; д) производят анализ результатов проверки подозрительного файла с помощью виртуальной машины;e) analyze the results of checking a suspicious file using a virtual machine; е) создают сигнатуру для обнаружения подозрительного файла, если анализ результатов показал, что подозрительный файл является вредоносным, при этом сигнатура создается на основании данных о распознанном формате файла.f) create a signature for detecting a suspicious file, if the analysis of the results showed that the suspicious file is malicious, and the signature is created based on the data on the recognized file format. 2. Способ по п. 1, в котором файл является подозрительным, по меньшей мере, по одному из критериев: файл имеет определенный рейтинг опасности; файл был получен из недоверенного источника и помещен в карантин; файл содержит вложенные ссылки или сценарии; при открытии файла происходит запуск недоверенной программы.2. The method according to p. 1, in which the file is suspicious, at least one of the criteria: the file has a certain hazard rating; The file was obtained from an untrusted source and quarantined. file contains nested links or scripts; when you open the file, an untrusted program starts. 3. Способ по п. 1, в котором распознают формат подозрительного файла на основании, по меньшей мере, одного из: анализа заголовка файла, энтропии значения байт файла.3. The method of claim 1, wherein the format of the suspicious file is recognized based on at least one of: analysis of the file header, entropy of the byte value of the file. 4. Способ по п. 1, в котором конфигурация виртуальной машины может включать различные варианты операционной системы, установленной в виртуальной машине, и установленных программ.4. The method according to claim 1, in which the configuration of the virtual machine may include various versions of the operating system installed in the virtual machine and installed programs. 5. Способ по п. 1, в котором программой, поддерживающий распознанный формат подозрительного файла, является наиболее популярная программа для открытия файлов распознанного формата.5. The method of claim 1, wherein the program supporting the recognized format of the suspicious file is the most popular program for opening files of the recognized format. 6. Способ по п. 1, в котором анализ результатов проверки подозрительного файла включает, по меньшей мере, анализ одного из: всех системных вызовов, дампа памяти процесса.6. The method according to claim 1, in which the analysis of the results of checking a suspicious file includes at least one of: all system calls, a process memory dump. 7. Система обнаружения вредоносных файлов определенного формата, при этом система содержит следующие средства:7. The system for detecting malicious files of a certain format, while the system contains the following tools: а) средство сбора данных, связанное со средством распознания формата, при этом средство сбора данных предназначено для обнаружения подозрительного файла;a) data collection tool associated with the format recognition tool, wherein the data collection tool is designed to detect a suspicious file; б) средство распознания формата, связанное с антивирусом, при этом средство распознания формата предназначено для распознания формата подозрительного файла;b) format recognition tool associated with the antivirus, while the format recognition tool is designed to recognize the format of a suspicious file; в) антивирус, связанный с виртуальной машиной, при этом антивирус предназначен для антивирусной проверки подозрительного файла с учетом его распознанного формата;c) the antivirus associated with the virtual machine, while the antivirus is designed to antivirus scan a suspicious file, taking into account its recognized format; г) виртуальная машина, связанная с анализатором, при этом виртуальная машина предназначена для проверки подозрительного файла в том случае, если подозрительный файл не является безопасным или вредоносным после его проверки антивирусом, при этом проверка с помощью виртуальной машины включает открытие подозрительного файла в рамках виртуальной машины с помощью программы, поддерживающий распознанный формат подозрительного файла;d) a virtual machine associated with the analyzer, while the virtual machine is designed to scan a suspicious file if the suspicious file is not safe or malicious after being scanned by antivirus, while scanning with a virtual machine involves opening a suspicious file within the virtual machine using a program that supports the recognized format of a suspicious file; д) анализатор, связанный со средством создания записей, при этом анализатор предназначен для анализа результатов проверки подозрительного файла с помощью виртуальной машины;d) the analyzer associated with the means of creating records, while the analyzer is designed to analyze the results of checking a suspicious file using a virtual machine; е) средство создания записей, предназначенное для создания сигнатуры для обнаружения подозрительного файла, если анализ результатов показал, что подозрительный файл является вредоносным, при этом сигнатура создается на основании данных о распознанном формате подозрительного файла.f) a record creation tool designed to create a signature for detecting a suspicious file, if the analysis of the results showed that the suspicious file is malicious, and the signature is created based on the data on the recognized format of the suspicious file. 8. Система по п. 7, в которой котором файл является подозрительным, по меньшей мере, по одному из критериев: файл имеет определенный рейтинг опасности; файл был получен из недоверенного источника и помещен в карантин; файл содержит вложенные ссылки или сценарии; при открытии файла происходит запуск недоверенной программы.8. The system according to claim 7, in which the file is suspicious, according to at least one of the criteria: the file has a certain hazard rating; The file was obtained from an untrusted source and quarantined. file contains nested links or scripts; when you open the file, an untrusted program starts. 9. Система по п. 7, в которой распознание формата подозрительного файла основано, по меньшей мере, на одном из: анализа заголовка файла, энтропии значения байт файла.9. The system of claim 7, wherein the recognition of the format of the suspicious file is based on at least one of: analysis of the file header, entropy of the value of the bytes of the file. 10. Система по п. 7, в которой конфигурация виртуальной машины может включать различные варианты операционной системы, установленной в виртуальной машине, и установленных программ.10. The system of claim 7, wherein the configuration of the virtual machine may include various versions of the operating system installed in the virtual machine and installed programs. 11. Система по п. 7, в которой программой, поддерживающий распознанный формат подозрительного файла, является наиболее популярная программа для открытия файлов распознанного формата.11. The system of claim 7, wherein the program supporting the recognized format of the suspicious file is the most popular program for opening files of the recognized format. 12. Система по п. 7, в которой анализ результатов проверки подозрительного файла включает, по меньшей мере, анализ одного из: всех системных вызовов, дампа памяти процесса. 12. The system of claim 7, wherein the analysis of the results of checking a suspicious file includes at least one of: all system calls, a process memory dump.
RU2014121039/08A 2014-05-26 2014-05-26 System and method of detecting malicious files of certain type RU2583712C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014121039/08A RU2583712C2 (en) 2014-05-26 2014-05-26 System and method of detecting malicious files of certain type

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014121039/08A RU2583712C2 (en) 2014-05-26 2014-05-26 System and method of detecting malicious files of certain type

Publications (2)

Publication Number Publication Date
RU2014121039A true RU2014121039A (en) 2015-12-10
RU2583712C2 RU2583712C2 (en) 2016-05-10

Family

ID=54842992

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014121039/08A RU2583712C2 (en) 2014-05-26 2014-05-26 System and method of detecting malicious files of certain type

Country Status (1)

Country Link
RU (1) RU2583712C2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2664401C1 (en) * 2017-04-05 2018-08-17 Федеральное государственное автономное учреждение науки Институт конструкторско-технологической информатики Российской академии наук (ИКТИ РАН) Anti-virus protection method and device for its implementation
CN111625827A (en) * 2020-05-29 2020-09-04 深信服科技股份有限公司 File processing method and device, terminal equipment and computer readable storage medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2697954C2 (en) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" System and method of creating antivirus record

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5716346B2 (en) * 2010-10-13 2015-05-13 株式会社リコー Signal buffer circuit, sensor control board, image reading apparatus, and image forming apparatus
RU2486588C1 (en) * 2012-03-14 2013-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for efficient treatment of computer from malware and effects of its work

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2664401C1 (en) * 2017-04-05 2018-08-17 Федеральное государственное автономное учреждение науки Институт конструкторско-технологической информатики Российской академии наук (ИКТИ РАН) Anti-virus protection method and device for its implementation
CN111625827A (en) * 2020-05-29 2020-09-04 深信服科技股份有限公司 File processing method and device, terminal equipment and computer readable storage medium
CN111625827B (en) * 2020-05-29 2024-04-09 深信服科技股份有限公司 File processing method, device, terminal equipment and computer readable storage medium

Also Published As

Publication number Publication date
RU2583712C2 (en) 2016-05-10

Similar Documents

Publication Publication Date Title
KR101383010B1 (en) Method of obtaining signature of apk files for android operating system, and computer-readable recording medium for the same
US9015814B1 (en) System and methods for detecting harmful files of different formats
CN107247902B (en) Malicious software classification system and method
KR101162051B1 (en) Using string comparison malicious code detection and classification system and method
KR20160082644A (en) Method and apparatus for detecting malware by code block classification
US10148689B2 (en) Method and apparatus for monitoring malicious link injection into website source code
RU2015125971A (en) System and method for detecting modified web pages
US10237285B2 (en) Method and apparatus for detecting macro viruses
CN103607413B (en) Method and device for detecting website backdoor program
KR102317833B1 (en) method for machine LEARNING of MALWARE DETECTING MODEL AND METHOD FOR detecting Malware USING THE SAME
RU2012156448A (en) SYSTEM AND METHOD FOR AUTOMATIC MODIFICATION OF ANTI-VIRUS DATABASE
WO2016183316A8 (en) Automatic threat detection of executable files based on static data analysis
Shabtai et al. F-sign: Automatic, function-based signature generation for malware
RU2015141551A (en) Method for detecting the operation of a malicious program launched from a client on a server
EP2790122A3 (en) System and method for correcting antivirus records to minimize false malware detections
KR101816045B1 (en) Malware detecting system with malware rule set
Nguyen et al. Detecting repackaged android applications using perceptual hashing
RU2015141542A (en) System and method for configuring anti-virus scanning
RU2014121039A (en) SYSTEM AND METHOD FOR DETECTING MALICIOUS FILES OF A SPECIFIC TYPE
RU2015154378A (en) Method for performing antivirus scans
Aslan Performance comparison of static malware analysis tools versus antivirus scanners to detect malware
CN105791250B (en) Application program detection method and device
CN106874758B (en) Method and device for identifying document code
CN109359467B (en) Precise identification and full-network linkage defense method and system for unknown Lesox virus
JP5608849B2 (en) How to get digital fingerprint of malicious document file