RU2363045C1 - Method and system for removing malicious software which inhibit treatment - Google Patents

Method and system for removing malicious software which inhibit treatment Download PDF

Info

Publication number
RU2363045C1
RU2363045C1 RU2007140042/09A RU2007140042A RU2363045C1 RU 2363045 C1 RU2363045 C1 RU 2363045C1 RU 2007140042/09 A RU2007140042/09 A RU 2007140042/09A RU 2007140042 A RU2007140042 A RU 2007140042A RU 2363045 C1 RU2363045 C1 RU 2363045C1
Authority
RU
Russia
Prior art keywords
malware
computer
malicious
blocking
actions
Prior art date
Application number
RU2007140042/09A
Other languages
Russian (ru)
Other versions
RU2007140042A (en
Inventor
Михаил Александрович Павлющик (RU)
Михаил Александрович Павлющик
Original Assignee
ЗАО "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЗАО "Лаборатория Касперского" filed Critical ЗАО "Лаборатория Касперского"
Priority to RU2007140042/09A priority Critical patent/RU2363045C1/en
Publication of RU2007140042A publication Critical patent/RU2007140042A/en
Application granted granted Critical
Publication of RU2363045C1 publication Critical patent/RU2363045C1/en

Links

Images

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to antivirus methods and, more specifically, to treatment of computers from malicious software which inhibit treatment. The system, method and machine-readable medium for removing malicious software from a computer, with several copies of the same activated malicious software, where several copies control presence of others, include (a) detection of presence malicious software on a computer; (b) blocking any actions, which allow one activated copy of malicious software to activate another copy; (c) removal from read-only memory of a file containing executable code of the malicious software; and (d) rebooting the computer. Actions include prevention of recording on read-only memory, prevention of recording in the registry and/or blocking activation of new processes. Blocking uses a driver, loaded in the kernel area. Signature identification can be used for detecting malicious software.
EFFECT: removal of malicious software which inhibit treatment.
12 cl, 11 dwg

Description

Область техникиTechnical field

Настоящее изобретение относится к антивирусным методам и, более конкретно, к лечению компьютеров от вредоносных программ, которые препятствуют лечению.The present invention relates to antivirus methods and, more specifically, to the treatment of computers from malware that interferes with treatment.

Уровень техникиState of the art

Сегодня существует множество различных типов компьютерных вредоносных программ, которые представляют серьезную угрозу для компьютеров и компьютерных сетей. Эти вредоносные программы могут инфицировать компьютер и могу распространяться с помощью различных механизмов, таких как электронная почта, интернет-чат, средство оперативной пересылки сообщениями и т.д., таким образом быстро заражая другие компьютеры. Вредоносные программы могут различаться по своему поведению от относительно неопасных (например, эпизодическое отображение пользователю неприятных сообщений) до злонамеренных и катастрофических, включая полное уничтожение данных на жестком диске, что ведет к потери данных и возможной необходимости полного восстановления операционной системы и данных приложений с резервной копии.Today, there are many different types of computer malware that pose a serious threat to computers and computer networks. These malicious programs can infect a computer and can be spread by various mechanisms, such as e-mail, Internet chat, instant messenger, etc., thus quickly infecting other computers. Malicious programs can vary in their behavior from relatively harmless (for example, occasionally displaying unpleasant messages to the user) to malicious and catastrophic ones, including the complete destruction of data on the hard drive, which leads to data loss and the possible need to completely restore the operating system and application data from a backup .

Сегодня существует ряд обычных механизмов для определения и лечения вредоносных программ. Эти механизмы описаны, например, в CN 1525333, US 2005/0091538, US 2005/0120238, US 5613002, WO 2004/090733, a также в других источниках. Эти механизмы, главным образом, используют сигнатурную идентификацию вредоносных программ и удаление кода вредоносной программы из оперативной памяти, а также удаление исполняемых файлов, зараженных вредоносными программами, с жесткого диска. Для множества вредоносных программ этого достаточно.Today, there are a number of common mechanisms for identifying and treating malware. These mechanisms are described, for example, in CN 1525333, US 2005/0091538, US 2005/0120238, US 5613002, WO 2004/090733, as well as other sources. These mechanisms mainly use signature-based identification of malware and removal of malware code from RAM, as well as the removal of executable files infected with malware from the hard drive. For a lot of malware, this is enough.

Сравнительно недавним явлением в области написания вредоносных программ является растущий профессионализм писателей вредоносных программ. С момента появления компьютеров, подключенных к сети, и до начала 2000 г. множество вредоносных программ было написано подростками и студентами ВУЗов, причем часто в качестве шутки. Другие вредоносные программы были написаны взрослыми хакерами, которые все же редко преследовали коммерческие цели. В настоящее время эта ситуация резко изменилась. Хотя есть еще много вредоносных программ, созданных непрофессионалами или в качестве шутки, появилась новая категория авторов вредоносных программ - это высококвалифицированные и обученные программисты, которые используют уязвимые места в безопасности операционной системы и сетевых протоколов в целях извлечения выгоды.A relatively recent development in malware writing is the growing professionalism of malware writers. Since the advent of computers connected to the network, and until the beginning of 2000, a lot of malware was written by teenagers and university students, often as a joke. Other malware was written by adult hackers, who still rarely pursued commercial goals. Currently, this situation has changed dramatically. Although there are still many malicious programs created by laymen or as a joke, a new category of malware authors has emerged - these are highly qualified and trained programmers who use vulnerabilities in the security of the operating system and network protocols in order to benefit.

Кроме того, появился целый класс вредоносных программ для распространения других типов вредоносных программ, например, использование злонамеренных программ для зомбирования компьютеров для использования в качестве источника рассылки спама и фишинга, использования методов вредоносных программ для кражи личных данных и т.д.In addition, a whole class of malware has appeared to spread other types of malware, for example, the use of malicious programs to zombie computers for use as a source of spam and phishing, the use of malware methods to steal personal data, etc.

Когда распространяется новая версия вредоносной программы, может пройти от нескольких минут до нескольких часов для того, чтобы обновились базы данных большинства основных поставщиков антивирусных программ и эти изменения распространились к их пользователям. Профессиональные авторы вредоносных программ подписываются на базы данных антивирусных программ и услуг и как только они видят, что их вредоносная программа обнаружена, тут же выпускают новую версию. Это по существу усиливает "гонку вооружений" между поставщиком антивирусных программ и авторами вредоносных программ.When a new version of a malicious program is distributed, it can take from several minutes to several hours for the databases of most of the major suppliers of anti-virus programs to be updated and these changes spread to their users. Professional malware authors subscribe to databases of anti-virus programs and services and as soon as they see that their malware has been detected, they immediately release a new version. This essentially reinforces the “arms race” between the antivirus software vendor and malware authors.

Другой недавний процесс, относящийся к растущему профессионализму написания вредоносных программ - это стремление авторов вредоносных программ писать код, который очень труден в лечении. Ранее создатели вредоносных программ мало заботились об этом аспекте, поскольку для многих непрофессиональных авторов вредоносных программ важнее было распространить вредоносные программы с наибольшей скоростью и заразить максимально возможное количество компьютеров, что являлось своего рода "тестом на зрелость" в сообществе хакеров. С коммерциализацией написания вредоносных программ цели также изменились - профессиональные авторы вредоносных программ часто идут на создание больших кусков кода с тем, чтобы гарантировать, что вредоносные программы, написанные ими, будет не легко вылечить и удалить.Another recent process related to the growing professionalism of writing malware is the desire of malware authors to write code that is very difficult to cure. Previously, malware creators did not care much about this aspect, since for many non-professional malware authors it was more important to spread malware at the highest speed and infect as many computers as possible, which was a kind of "maturity test" in the hacker community. With the commercialization of malware writing, the goals have also changed - professional malware authors often go for large chunks of code to ensure that malware written by them is not easy to cure and delete.

Таким образом, сегодня есть категория вредоносных программ, которая специально разработана для препятствия лечению. Эти вредоносные программы, препятствующие лечению, обычно создают множество собственных копий на одном и том же компьютере, которые одновременнно выполняются, используя различные потоки. Таким образом, в этой схеме вредоносная программа может иметь одну копию своего кода, который инфицировал Internet Explorer (выполняется в одном потоке), и может иметь другую копию своего кода, который инфицировал почтовый клиент (выполняется в другом потоке и загружен в различных частях оперативной памяти компьютера). Когда антивирусное программное обеспечение определяет одну из копий вредоносной программы (например, копию вредоносной программы, которая инфицировала Internet Explorer), антивирусное программное обеспечение удаляет эту копию вредоносной программы и удаляет копию исполняемого файла, которая содержит код вредоносной программы.Thus, today there is a category of malware that is specifically designed to prevent treatment. These anti-cure malware programs usually create many of their own copies on the same computer, which are executed simultaneously using different threads. Thus, in this scheme, a malicious program may have one copy of its code that infected Internet Explorer (runs in one thread), and may have another copy of its code that infected a mail client (runs in another thread and loaded in different parts of RAM computer). When antivirus software detects one of the copies of the malware (for example, a copy of the malware that infected Internet Explorer), the antivirus software removes that copy of the malware and deletes a copy of the executable that contains the malware code.

Однако для вредоносных программы, препятствующих лечению, этого не достаточно - другая копия вредоносной программы (в этом случае, копия, которая инфицировала почтовый клиент) определяет, что первая копия удалена, и сразу же копирует саму себя в ту часть оперативной памяти, в которой загружен Internet Explorer, повторно инфицируя Internet Explorer и повторно запуская поток первой копии вредоносной программы. Когда антивирусное программное обеспечение встречает вторую копию (копия, которая инфицировала почтовый клиент), происходит с точностью до наоборот - антивирусное программное обеспечение удаляет вредоносный код из почтового клиента в части оперативной памяти и удаляет его копию исполняемого файла, однако поток, который выполняет копию вредоносной программы в Internet Explorer, сразу определяет это и повторно инфицирует почтовый клиент. Это явление знакомо многим людям, которые недавно стали жертвами таких вредоносных программ, препятствующих лечению, так и обычным пользователям, для которых эффект проявляется в том, что который раз, когда пользователь пытается «убить» вредоносную программу, через некоторое время она появляется снова.However, this is not enough for malicious programs that prevent the cure - another copy of the malicious program (in this case, the copy that infected the mail client) determines that the first copy is deleted, and immediately copies itself to the part of the RAM in which it is loaded Internet Explorer by re-infecting Internet Explorer and re-launching the stream of the first copy of the malware. When anti-virus software encounters a second copy (the copy that infected the mail client), it happens exactly the opposite - the anti-virus software removes malicious code from the mail client in the part of RAM and deletes a copy of the executable file, however, the thread that executes the copy of the malware in Internet Explorer, immediately detects this and re-infects the email client. This phenomenon is familiar to many people who have recently become victims of such anti-cure malware, as well as to ordinary users, for whom the effect is manifested in the fact that the time a user tries to “kill” a malicious program, it reappears after some time.

Рассмотрим, например, ситуацию, когда компьютер инфицирован вредоносной программой и вредоносный код (содержание исполняемого файла вредоносной программы) загружен в оперативную память, а в реестр включен соответствующий ключ для запуска файла. Рассмотрим ситуацию, показанную на фиг.1. На фиг.1 показаны два злонамеренных процесса, такие как вредоносные программы, обозначенные как МР1 и МР2. Когда антивирусное программное обеспечение убивает злонамеренный процесс 2, злонамеренный процесс 1 восстанавливает файл из собственной резервной копии или из памяти. Затем перезапускается злонамеренный процесс 1. Далее антивирусное программное обеспечение находит ключ реестра, который идентифицирует вредоносный файл, соответствующий злонамеренному процессу 1, и удаляет этот ключ реестра. Однако вредоносная программа снова восстанавливает ключ реестра из свой резервной копии или из памяти. Затем антивирусное программное обеспечение находит злонамеренный процесс 2 и убивает его. Однако злонамеренный процесс 1 мгновенно перезапускает злонамеренный процесс 2. Антивирусное программное обеспечение затем находит злонамеренный процесс 1 и убивает его, но злонамеренный процесс 2 затем перезапускает злонамеренный процесс 1.Consider, for example, a situation where a computer is infected with a malicious program and the malicious code (the contents of the executable file of the malicious program) is loaded into RAM, and the corresponding key to start the file is included in the registry. Consider the situation shown in figure 1. Figure 1 shows two malicious processes, such as malware, designated as MP1 and MP2. When antivirus software kills malicious process 2, malicious process 1 restores the file from its own backup or from memory. Then, malicious process 1 is restarted. Next, the anti-virus software finds a registry key that identifies the malicious file corresponding to malicious process 1 and deletes this registry key. However, the malware again restores the registry key from its backup copy or from memory. The antivirus software then finds the malicious process 2 and kills it. However, malicious process 1 instantly restarts malicious process 2. Antivirus software then finds malicious process 1 and kills it, but malicious process 2 then restarts malicious process 1.

В результате антивирусная программа завершает сканирование системы будучи уверенной, что вредоносная программа удалена, однако, как ясно из фиг.1, вредоносная программа остается активной, нанося таким образом поражение антивирусному программному обеспечению.As a result, the antivirus program finishes scanning the system being sure that the malware has been deleted, however, as is clear from Fig. 1, the malware remains active, thus defeating the antivirus software.

Соответственно имеется необходимость в уровне техники, в системе и способе для лечения компьютеров от вредоносных программ, препятствующих лечению.Accordingly, there is a need in the prior art, in a system and method for treating computers from malware that interferes with treatment.

Сущность изобретенияSUMMARY OF THE INVENTION

Соответственно техническим результатом заявленного изобретения является обеспечение лечения вредоносных программы, препятствующих лечению.Accordingly, the technical result of the claimed invention is the provision of treatment for malicious programs that impede treatment.

Согласно способу лечения вредоносной программы на компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, способ содержит этапы, на которых: (а) идентифицируют наличие вредоносной программы в компьютере; (b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другие копии вредоносной программы; (с) после чего удаляют с постоянного запоминающего устройства файл, содержащий исполняемый код вредоносной программы; (d) перезапускают компьютер.According to a method for treating a malicious program on a computer having multiple copies of the same activated malicious program, the multiple copies controlling the existence of each of them, the method comprises the steps of: (a) identifying the presence of the malicious program in the computer; (b) then block any actions that allow one active copy of the malware to activate other copies of the malware; (c) after which the file containing the executable code of the malicious program is deleted from the permanent storage device; (d) restart the computer.

В частном варианте осуществления упомянутые действия включают в себя блокировку записи на постоянное запоминающее устройство.In a private embodiment, said actions include writing to the read only memory.

В другом частном варианте осуществления упомянутые действия включают в себя блокировку записи в системный реестр.In another private embodiment, said actions include locking records in the system registry.

Еще в одном из частных вариантов упомянутые действия включают в себя блокировку активации нового процесса. При этом этап блокировки использует драйвер, загруженный в область ядра.In another of the private options mentioned actions include blocking the activation of a new process. In this case, the blocking stage uses a driver loaded into the kernel area.

Еще в одном из частных вариантов осуществления этап идентификации использует сигнатурную идентификацию для определения вредоносной программы.In yet another particular embodiment, the identification step uses signature identification to determine the malware.

Система лечения вредоносной программы на компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, система содержит: (а) модуль обнаружения вредоносной программы для идентификации наличия вредоносной программы; (b) средство, установленное в области ядра, которое, после того как идентифицировано наличие вредоносной программы модулем обнаружения вредоносной программы, блокирует действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы; (с) средство для удаления с постоянного запоминающего устройства файла, содержащего исполняемый код вредоносной программы, после того как средство блокировки блокировало упомянутые действия; и (d) средство для перезапуска компьютера, которое перезапускает компьютер после того, как упомянутое средство удаления удалило файл, содержащий исполняемый код вредоносной программы.A malware treatment system on a computer that has multiple copies of the same activated malware, while multiple copies control the existence of each of them, the system contains: (a) a malware detection module to identify the presence of a malicious program; (b) means installed in the area of the kernel that, after malware has been identified by the malware detection module, blocks actions that allow one active copy of the malware to activate another copy of the malware; (c) means for removing from a read-only memory device a file containing executable code of a malicious program after the blocking means has blocked said actions; and (d) means for restarting the computer, which restarts the computer after said removal tool has deleted the file containing the executable code of the malicious program.

В частном варианте осуществления упомянутое средство для блокировки предназначено для блокировки записей на постоянное запоминающее устройство.In a private embodiment, said locking means is for locking records to read-only memory.

В другом частном варианте осуществления упомянутое средство блокировки предназначено для блокировки записи в системный реестр.In another private embodiment, said locking means is for locking records in the system registry.

Еще в одном из частных вариантов осуществления упомянутое средство блокировки предназначено для блокировки активации новых процессов. При этом упомянутый модуль обнаружения вредоносных программ использует сигнатурную идентификацию для определения вредоносных программ.In yet another private embodiment, said blocking means is intended to block activation of new processes. Moreover, said malware detection module uses signature-based identification to identify malware.

Машиночитаемый носитель для анализа подозрительных объектов на наличие вредоносных программ и имеющий исполняемую компьютером программу, при исполнении которой выполняют следующие этапы: (а) идентифицируют наличие вредоносной программы; (b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы; (с) после чего удаляют с постоянного запоминающего устройства файл, содержащий исполняемый код вредоносной программы; (d) перезапускают компьютер.A machine-readable medium for analyzing suspicious objects for malware and having a computer-executable program that executes the following steps: (a) identify the presence of a malicious program; (b) then block any actions that allow one active copy of the malware to activate another copy of the malware; (c) after which the file containing the executable code of the malicious program is deleted from the permanent storage device; (d) restart the computer.

Дополнительные признаки и преимущества изобретения будут установлены из описания, которое следует, и частично будут очевидны из описания и могут быть получены из практического применения изобретения. Преимущества изобретения будут достигнуты и приобретены посредством структуры, конкретно подчеркнутой в написанном описании и формуле, а также в прилагаемых чертежах.Additional features and advantages of the invention will be established from the description that follows, and in part will be apparent from the description, and may be obtained from the practical application of the invention. The advantages of the invention will be achieved and acquired through a structure specifically emphasized in the written description and claims, as well as in the accompanying drawings.

Понятно, что предшествующее общее описание и последующее подробное описание являются примерными и объясняющими и предназначены для обеспечения объяснения заявленного изобретения.It is understood that the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide an explanation of the claimed invention.

Краткое описание чертежейBrief Description of the Drawings

Сопровождающие чертежи, которые включаются для обеспечения дополнительного понимания изобретения и включаются в и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.The accompanying drawings, which are included to provide an additional understanding of the invention and are included in and form part of this description, show embodiments of the invention and together with the description serve to explain the principles of the invention.

Фиг.1 показывает результаты лечения вредоносной программы с помощью обычных алгоритмов.Figure 1 shows the results of the treatment of a malicious program using conventional algorithms.

Фиг.2 показывает алгоритм лечения вредоносной программы в соответствии с одним из вариантов осуществления настоящего изобретения.Figure 2 shows a malware treatment algorithm in accordance with one embodiment of the present invention.

Фиг.3а показывает результаты лечения вредоносной программы в соответствии с одним из вариантов осуществления настоящего изобретения.Figa shows the results of the treatment of a malicious program in accordance with one of the embodiments of the present invention.

Фиг.3б показывает одну из возможных конфигураций системы, которая воплощает настоящее изобретение.Fig. 3b shows one possible configuration of a system that embodies the present invention.

Фиг.4 показывает в форме блок-схемы отношения между вредоносной программой, препятствующей лечению, и различными системными компонентами.Figure 4 shows in the form of a block diagram the relationship between the anti-cure malware and various system components.

Фиг.5 показывает антивирусный драйвер, добавленный к операционной системе, в соответствии с одним из вариантов осуществления изобретения.5 shows an anti-virus driver added to an operating system in accordance with one embodiment of the invention.

Фиг.6а и 6в показывают временные графики лечения вредоносной программы с и без настоящего изобретения.Figures 6a and 6c show treatment timelines for malware with and without the present invention.

Фиг.7 показывает лечение вредоносного кода, который был внесен в список процессов системных служб.Fig.7 shows the treatment of malicious code that has been included in the list of processes of system services.

Фиг.8 показывает процесс лечения вредоносной программы, используя DLL библиотеку, добавленной в системные службы и пользовательские процессы.Fig. 8 shows a malware treatment process using a DLL library added to system services and user processes.

Фиг.9 схематично показывает компьютерную систему, в которой может быть выполнено лечение вредоносной программы в соответствии с одним из вариантов осуществления изобретения.9 schematically shows a computer system in which malware can be treated in accordance with one embodiment of the invention.

Подробное раскрытие предпочтительных вариантов осуществленияDetailed disclosure of preferred embodiments

Теперь будут сделаны отсылки на предпочтительные варианты осуществления настоящего изобретения, примеры, которые показываются в сопровождающих чертежах.Reference will now be made to preferred embodiments of the present invention, examples which are shown in the accompanying drawings.

Существует множество способов для процессов и потоков определить, выполняется ли их другая копия. Например, зловредный процесс может создать глобальный объект и периодически проверять его существование. Поэтому такой глобальный объект используется для синхронизации между различными копиями одного и того же процесса вредоносной программы. Отображенные в памяти файлы являются другим механизмом, который могут использовать различные копии одной и той же вредоносной программы для поддержания осведомленности о том, что «убит» ли другой процесс. Открытие окна является другим вариантом этой схемы, например, когда окно является скрытым окном или одним из тех, которое имеет все атрибуты окна за исключением того, что оно не отображается на мониторе. В общем, современные операционные системы содержат различные механизмы, которые разрешают многим копиям вредоносной программы поддерживать осведомленность, убита ли другая копия, посредством чего узнают, необходимо ли перезапустить другие процессы.There are many ways for processes and threads to determine if another copy is running. For example, a malicious process can create a global object and periodically check its existence. Therefore, such a global object is used to synchronize between different copies of the same malware process. Files displayed in memory are another mechanism that can use different copies of the same malware to maintain awareness that another process has been “killed”. Opening a window is another variant of this scheme, for example, when the window is a hidden window or one of those that has all the attributes of the window except that it is not displayed on the monitor. In general, modern operating systems contain various mechanisms that allow many copies of a malicious program to maintain awareness of whether another copy has been killed, whereby they find out whether other processes need to be restarted.

Программное обеспечения для лечения, которое временно блокирует код вредоносной программы от восстановления «убитой» копии самой себя, может включать в себя блокирование записи в системный реестр, блокирование записи на жесткий диск, блокирование любых попыток модифицировать файлы на жестком диске, блокирование попыток запуска новых процессов или потоков и т.п. Следует отметить, что пока подобное блокирование имеет эффект, «полезным» процессам (с точки зрения пользователя) также не допускается делать такие же вещи, однако в обычной ситуации антивирусная программа оповестила бы пользователя, что «лечение требует перезагрузки системы». Хотя теоретически возможно, что нет необходимости в перезагрузке, риск сохранения вредоносной программы без перезагрузки системы относительно высок, т.к. нет гарантии того, что код вредоносной программы был полностью удален из оперативной памяти, что является чрезвычайно трудной задачей, особенно когда сам код вредоносной программы внедряется в системные процессы или службы, такие как Internet Explorer, ServiceHost и т.д.Treatment software that temporarily blocks malware code from recovering a “killed” copy of itself may include blocking entries in the system registry, blocking writes to the hard disk, blocking any attempts to modify files on the hard disk, blocking attempts to start new processes or threads, etc. It should be noted that while such blocking has an effect, “useful” processes (from the user's point of view) are also not allowed to do the same things, however, in a normal situation, an antivirus program would notify the user that “treatment requires a reboot of the system”. Although it is theoretically possible that there is no need to reboot, the risk of saving the malware without rebooting the system is relatively high, as there is no guarantee that the malware code has been completely removed from the RAM, which is extremely difficult, especially when the malicious code itself is embedded in system processes or services such as Internet Explorer, ServiceHost, etc.

Процессы, обсужденные выше, такие как запись в системный реестр, запись на жесткий диск, запуск новых процессов и потоков и т.д., могут блокироваться на системном уровне, используя специальный драйвер или другим подходящим способом. В этом случае, если вредоносная программа пытается восстановить другую копию самой себя, эта попытка просто блокируется.The processes discussed above, such as writing to the system registry, writing to the hard disk, starting new processes and threads, etc., can be blocked at the system level using a special driver or in another suitable way. In this case, if the malware tries to restore another copy of itself, this attempt is simply blocked.

Как обсуждалось ранее, имеется необходимость в уровне технике в системе и способе для умения обращаться с вредоносными программами, которые специально предназначены для препятствия лечению. Процесс лечения таких вредоносных программ показывается на фиг.2. Как показано на фиг.2, сначала сканируют операционную систему компьютера и обнаруживают вредоносную программу (этап 210) с помощью любого известного способа детектирования вредоносных программ. Самым распространенным таким способом обнаружения вредоносной программы является сигнатурный способ, описанный, например, в опубликованных заявках US 2006/0107055, US 2006/0143713, US 2006/0064755, US 2005/0229254 и патенте US 5765030. Также доступны различные коммерческие программные продукты, которые используют сигнатурный способ обнаружения вредоносных программ, такие как от Norton/Symantec, Лаборатории Касперского, McAfee, Dr.Solomon и т.д. Как будет очевидно специалисту в данной области техники, настоящее изобретение не ограничивается каким-либо конкретным способом обнаружения вредоносных программ.As discussed previously, there is a need for a prior art in a system and method for the ability to handle malware that is specifically designed to interfere with treatment. The treatment process for such malware is shown in FIG. As shown in FIG. 2, the computer’s operating system is first scanned and malware detected (step 210) using any known method for detecting malware. The most common malware detection method of this type is the signature method described, for example, in published applications US 2006/0107055, US 2006/0143713, US 2006/0064755, US 2005/0229254 and US patent 5765030. Various commercial software products are also available that They use a signature method for detecting malicious programs, such as those from Norton / Symantec, Kaspersky Lab, McAfee, Dr. Solomon, etc. As will be apparent to one skilled in the art, the present invention is not limited to any particular malware detection method.

Как только был идентифицирован файл, который был инфицирован (этап 220), то до начала удаления/изоляции и лечения этого файла блокируются любые действия, которые могут помешать лечению (этап 230). Как например, может блокироваться запись в ветки реестра, может блокироваться запуск новых процессов и потоков, создание нового файла и/или модификация файла и т.д. Как будет понятно специалисту в уровне техники, этот перечень необязательно исчерпывающий и зависит от конфигурации системы и характеристик процессора, другие действия могут также при необходимости блокироваться.As soon as a file that has been infected has been identified (step 220), any actions that may interfere with the treatment are blocked before the deletion / isolation and treatment of this file begins (step 230). For example, writing to registry branches may be blocked, the launch of new processes and threads, the creation of a new file and / or file modification, etc. may be blocked. As will be understood by a person skilled in the art, this list is not necessarily exhaustive and depends on the system configuration and processor characteristics, other actions may also be blocked if necessary.

Как только эти действия заблокированы, вредоносная программа может быть подвергнута лечению. Это лечение может выполняться любыми механизмами, известными из уровня техники, например, посредством удаления соответствующих ключей реестра, удаления файла с жесткого диска, удаления вредоносного кода из оперативной памяти и т.д. Как только это выполнено, тогда операционная система перезагружается (этап 240). Перезагрузка ОС гарантирует, что код вируса теперь нет в памяти.Once these actions are blocked, the malware can be treated. This treatment can be performed by any mechanisms known from the prior art, for example, by deleting the corresponding registry keys, deleting the file from the hard disk, deleting malicious code from the RAM, etc. Once this is done, then the operating system restarts (step 240). Rebooting the OS ensures that the virus code is no longer in memory.

Далее более подробно будет обсуждаться предложенный процесс лечения вредоносной программы, как показано на фиг.3а. Рассмотрим ситуацию, когда система имеет инфицированный файл и соответствующий ключ реестра для этого файла. Файл пытается выполнить два процесса: первый процесс - восстановления удаленного файла из резервной копии, второй процесс - восстановление ключа в реестре. Как обсуждалось выше, сначала используя антивирусную программу, сканируют операционную систему для обнаружения наличия вредоносной программы. Такое сканирование, как отмечалось выше, может выполняться с помощью любых известных способов.Next, the proposed malware treatment process will be discussed in more detail, as shown in FIG. 3a. Consider a situation where the system has an infected file and the corresponding registry key for this file. The file tries to perform two processes: the first process is restoring the deleted file from the backup, the second process is restoring the key in the registry. As discussed above, first using an antivirus program, they scan the operating system to detect the presence of malware. Such a scan, as noted above, can be performed using any known methods.

В результате сканирования системы обнаруживается вредоносный файл. Сразу блокируются любые действия, которые могут мешать процессу лечения. Затем инфицированный вредоносный файл лечится или удаляется из операционной системы.As a result of a system scan, a malicious file is detected. Any actions that may interfere with the treatment process are immediately blocked. Then, the infected malicious file is disinfected or deleted from the operating system.

Второй процесс (поток) вредоносной программы, после того как был удален файл, пытается восстановить файл (см. МР1). Но в этом случае он не способен сделать это, т.к. блокируются такие действия, как создание нового файла или запись на диск.The second process (thread) of the malicious program, after the file has been deleted, tries to restore the file (see MP1). But in this case, he is not able to do this, because actions such as creating a new file or writing to disk are blocked.

Затем антивирусное программное обеспечение находит ключ реестра, который соответствует инфицированному файлу и удаляет его из реестра. Процесс 1 (МР1) вредоносной программы снова пытается восстановить этот ключ, однако он не может сделать это, т.к. система блокируется от выполнения таких действий, включая (в этом случае) запись в ветки реестра.Then the anti-virus software finds the registry key that corresponds to the infected file and removes it from the registry. Process 1 (MP1) of the malicious program again tries to recover this key, however, it cannot do this because the system is blocked from performing such actions, including (in this case) writing to the registry branches.

Затем антивирусное программное обеспечение находит процесс 2 (МР2) вредоносной программы и идентифицирует его как зараженный. В результате, антивирусное программное обеспечение убивает этот процесс. После этого процесс (МР1) пытается перезапуститься, но в следствие того что блокирован запуск новых процессов, этот процесс не может перезапуститься. Антивирусное программное обеспечение затем убивает процесс 1.The antivirus software then finds the malware process 2 (MP2) and identifies it as infected. As a result, antivirus software kills this process. After this, the process (MP1) tries to restart, but due to the fact that the start of new processes is blocked, this process cannot restart. Antivirus software then kills process 1.

Антивирусное программное обеспечение завершает сканирование системы и, после этапа выполненного выше и как показано на фиг.3а, вредоносная программа действительно удалена из системы.Antivirus software completes the scan of the system and, after the step performed above and as shown in figa, the malicious program is really removed from the system.

Фиг.3б показывает одну из возможных конфигураций системы, которая воплощает настоящее изобретение. Как показано на фиг.3в, система включает в себя средство (310) для обнаружения наличия вредоносной программы, которое может, как обсуждалось ранее, быть любым из известных средств для обнаружения вредоносных программ. Система также включает в себя средство (320) для блокирования определенных действий, которые могут мешать эффективному лечению, и средство (330) для лечения, такое как средство для перезагрузки операционной системы из надежной копии.Fig. 3b shows one possible configuration of a system that embodies the present invention. As shown in FIG. 3c, the system includes means (310) for detecting the presence of a malicious program, which may, as previously discussed, be any of the known means for detecting malware. The system also includes means (320) for blocking certain actions that may interfere with effective treatment, and means (330) for treatment, such as means for rebooting the operating system from a reliable copy.

В системе, показанной на фиг.3б, средство 310 обнаружения вредоносной программы сначала обнаруживает присутствие вредоносной программы. В случае обнаружения инфицированного файла средство 310 затем запускает средство 320 блокировки. Средство 320 блокировки затем выполняет блокировку действий, которые могут помешать лечению вредоносных программ. Это может включать в себя, как отмечено ранее, блокирование любых попыток записи в ветки системного реестра, блокирование запуска новых процессов и потоков, блокирование создания новых файлов и модификацию существующих файлов и т.д. Как только блокируются эти процессы, средство 330 затем осуществляет лечение, которое включает в себя удаление, карантин или дезинфекцию инфицированного файла, как это известно из уровня техники. Также средство 330 затем перезагружает операционную систему, гарантируя тем самым, что вредоносная программа удалена из системы.In the system of FIG. 3b, malware detection tool 310 first detects the presence of malware. If an infected file is detected, the tool 310 then launches the lock tool 320. The blocker 320 then blocks actions that may interfere with the cure of the malware. This may include, as noted earlier, blocking any attempts to write to the registry keys, blocking the start of new processes and threads, blocking the creation of new files and modifying existing files, etc. As soon as these processes are blocked, the tool 330 then carries out treatment, which includes the removal, quarantine or disinfection of the infected file, as is known from the prior art. Also, the tool 330 then restarts the operating system, thereby ensuring that the malware is removed from the system.

Следует также отметить, что элементы 310, 320 и 330 могут быть выполнены аппаратными средствами, программными средствами, встроенными программами или любыми другими путями, в которых исполняемые компьютером операции и программы могут быть воплощены и могут быть сохранены, например, на машиночитаемом носителе.It should also be noted that elements 310, 320, and 330 may be executed by hardware, software, firmware, or any other means in which computer-executable operations and programs may be embodied and may be stored, for example, on computer-readable media.

Фиг.4 показывает блок-схему отношения между вредоносной программой, препятствующей лечению, и различными системными компонентами. Как показано на фиг.4, в компьютерной оперативной памяти (RAM) есть несколько процессов 401, выполняемых в пользовательской области, и ряд системных служб 402, выполняемых в области ядра. Жесткий диск 405 и системный реестр 406 доступны для использования системными драйверами 404. Антивирусное программное обеспечение 403 также выполняется в системной области.Figure 4 shows a block diagram of the relationship between the anti-cure malware and various system components. As shown in FIG. 4, in computer random access memory (RAM) there are several processes 401 running in the user area and a number of system services 402 running in the kernel area. Hard drive 405 and registry 406 are available for use by system drivers 404. Antivirus software 403 also runs in the system area.

Как показано на фиг.4, вредоносная программа загружает копию своего кода в одну из системных служб 402. Вредоносная программа, препятствующая лечению, также загружает копию исполняемого файла в память для использования системными службами 402, а также копию ключа реестра. Попытка удаления вредоносного кода из памяти является очень трудной, если не невозможной задачей, т.к. попытка модификации кода системных служб может часто привести к сбою или неисправности в работе компьютера.As shown in FIG. 4, a malicious program downloads a copy of its code into one of the system services 402. A malicious program that prevents the cure also downloads a copy of the executable file to memory for use by system services 402, as well as a copy of the registry key. Trying to remove malicious code from memory is very difficult, if not impossible, because Attempting to modify the system services code can often lead to a malfunction or malfunction of the computer.

Фиг.5 показывает один из вариантов осуществления изобретения, где антивирусный драйвер 504 добавляется между системным драйвером 405 и пользовательскими процессами 401 и системными службами 402, так что пресекается и блокируется любая попытка записи в системный реестр 406 или жесткий диск 405. Поэтому драйвер 504 предотвращает восстановление одной копией вредоносной программы другой копии самой себя или копирование исполняемого файла и ключей реестра на жесткий диск и в системный реестр.5 shows one embodiment of the invention where an anti-virus driver 504 is added between the system driver 405 and user processes 401 and system services 402, so that any attempt to write to the system registry 406 or hard disk 405 is stopped and blocked. Therefore, the driver 504 prevents recovery one copy of the malicious program to another copy of itself or copying the executable file and registry keys to the hard drive and to the system registry.

Фиг.6а показывает ситуацию, когда используются обычные антивирусные способы для попытки лечения вредоносной программы, препятствующей лечению. Как показано на фиг.6а, вредоносный файл идентифицируется и удаляется в момент времени 2, однако в момент времени 3 вредоносная программа копирует исполняемый файл из оперативной памяти (см. фиг.4 и 5) на жесткий диск в момент времени 3. В момент времени 4 обнаруживается вредоносная программа в системном реестре и ключи удаляются, однако в момент времени 5 вредоносная программа восстанавливает ключи из памяти. Таким образом, когда происходит перезагрузка компьютера в момент времени 7, в момент времени 8 вредоносная программа все еще присутствует в памяти, на жестком диске и в реестре.Fig. 6a shows a situation where conventional anti-virus methods are used to attempt to cure a malware that impedes treatment. As shown in FIG. 6a, a malicious file is identified and deleted at time 2, however, at time 3, the malicious program copies the executable file from RAM (see FIGS. 4 and 5) to the hard disk at time 3. At time 4, a malicious program is detected in the system registry and the keys are deleted, but at time 5, the malicious program recovers the keys from memory. Thus, when the computer reboots at time 7, at time 8, the malicious program is still present in memory, on the hard disk and in the registry.

Фиг.6б показывает сценарий, когда драйвер 204 используется для блокирования попыток вредоносной программы по препятствованию лечению. Как показано на фиг.6в, после обнаружения и удаления файла, содержащего вредоносную программу в момент времени 2, блокируется попытка вредоносной программы создать другую копию файла на жестком диске в момент времени 3. В момент времени 4 удаляется ключ вредоносной программы из системного реестра. В момент времени 5 блокируется попытка записать другую копию ключа в системный реестр. Таким образом, после перезагрузки в момент времени 7 система очищена от вредоносной программы.Fig. 6b shows a scenario where driver 204 is used to block malware attempts to prevent cure. As shown in FIG. 6c, after detecting and deleting a file containing malware at time 2, the malware attempt to create another copy of the file on the hard disk at time 3 is blocked. At time 4, the malware key is deleted from the system registry. At time 5, an attempt to write another copy of the key to the system registry is blocked. Thus, after rebooting at time 7, the system is cleared of malware.

Другим примером вредоносной программы, препятствующей лечению, является вредоносная программа, которая встроена в код одной из системных служб 730, как показано на фиг.7. Подобная вредоносная программа не может быть вылечена обычными средствами без сбоя компьютерной системы. Таким образом, способ, описанный здесь, может быть также использован для лечения подобных вредоносных программ. В этом случае вредоносная программа удаляется с диска, а операционная система загружается с надежного образа, как уже обсуждено ранее с ссылкой на примеры.Another example of an anti-cure malware is malware that is embedded in the code of one of the system services 730, as shown in FIG. 7. Such a malware program cannot be cured by conventional means without a computer system crash. Thus, the method described here can also be used to treat such malware. In this case, the malicious program is removed from the disk, and the operating system is loaded from a reliable image, as previously discussed with reference to examples.

Хотя обсуждение выше подразумевало использование драйвера для блокирования любых попыток вредоносной программы противиться лечению, это не является единственным механизмом для решения данной задачи. Другой вариант состоит в использовании динамически загружаемой библиотеки (DLL) (см. 832 на фиг.8), которая действует схожим образом, что и драйвер на системном уровне. Как еще один вариант, дополнительное программное обеспечение может быть внедрено в инфицированный процесс, которое будет работать по схеме, описанной выше, - блокировать любую попытку вредоносного кода копировать себя или снова заразить компьютер до его перезагрузки. В будущем этот вариант для блокирования любой попытки вредоносной программы снова заразить компьютер может быть воплощен как на уровне техники, так и на уровне программного обеспечения.Although the discussion above implied using a driver to block any malware attempts to resist treatment, this is not the only mechanism for solving this problem. Another option is to use a dynamically loaded library (DLL) (see 832 in FIG. 8), which acts in a similar way to the driver at the system level. As another option, additional software can be introduced into the infected process, which will work according to the scheme described above - to block any attempt by malicious code to copy itself or to infect the computer again before it reboots. In the future, this option for blocking any attempt by a malicious program to infect a computer again may be implemented both at the technical level and at the software level.

Например, на фиг.9 показывается компьютерная система, в которой может быть воплощено настоящее изобретение. Компьютерная система включает в себя один или более процессоров, таких как процессор 21. Процессор 21 соединяется с коммуникационной инфраструктурой 23, такой как шина или сеть. Различные программные воплощения описываются в терминах этой примерной компьютерной системы. После прочтения описания станет очевидным специалисту в уровне техники, как воплотить изобретение, используя другие компьютерные системы и/или компьютерные архитектуры.For example, FIG. 9 shows a computer system in which the present invention may be embodied. A computer system includes one or more processors, such as a processor 21. The processor 21 is connected to a communications infrastructure 23, such as a bus or network. Various software embodiments are described in terms of this exemplary computer system. After reading the description, it will become apparent to a person skilled in the art how to implement the invention using other computer systems and / or computer architectures.

В состав компьютерной системы также входит системная память 22, которая делится на постоянное запоминающее устройство (ПЗУ) 24 и оперативное запоминающее устройство (ОЗУ) 25. В состав ПЗУ 24 входит БИОС 26. В ОЗУ 25 могут хранится части операционной системы 35, файловая система 36, код приложений 37, а также другие программные модули 37 и программные данные 39. Сама системная память подключена, как и процессор, к системной шине 23.The computer system also includes system memory 22, which is divided into read-only memory (ROM) 24 and random access memory (RAM) 25. ROM 24 includes BIOS 26. RAM 25 can store parts of the operating system 35, file system 36 , application code 37, as well as other program modules 37 and program data 39. The system memory itself is connected, like the processor, to the system bus 23.

Помимо процессора и системной памяти к системной шине могут быть подключены и другие устройства, такие как видеоадаптер 48, хост-адаптер 55, интерфейсы жесткого диска 32, магнитного диска 33, оптического диска 34, серийного порта 46, а также сетевой интерфейс 53. Видеоадаптер 48 подключен к монитору 47, способен выводить информацию на свой дисплей. Хост-адаптер 55 позволяет передавать данные между системной шиной 23 и хранилищем данных 57. Интерфейс жесткого диска обеспечивает доступ к жесткому диску, на котором могут хранится операционная система 35, приложения 37, а также другие программные модули 37 и программные данные 39. К интерфейсу серийного порта 46 можно подключать различные внешние устройства, такие как мышь 42, клавиатура 40, а также модем 54. С помощью модема 54, а также используя сетевой интерфейс 53, можно получить доступ к удаленному компьютеру 49, а также приложениям 37, которые там установлены.In addition to the processor and system memory, other devices can be connected to the system bus, such as video adapter 48, host adapter 55, interfaces of hard disk 32, magnetic disk 33, optical disk 34, serial port 46, and network interface 53. Video adapter 48 connected to the monitor 47, is able to display information on its display. The host adapter 55 allows you to transfer data between the system bus 23 and the data storage 57. The hard disk interface provides access to the hard disk, which can store the operating system 35, applications 37, as well as other program modules 37 and program data 39. To the serial interface port 46, you can connect various external devices, such as a mouse 42, a keyboard 40, as well as a modem 54. Using a modem 54, as well as using a network interface 53, you can access the remote computer 49, as well as applications 37, which are there tanovleny.

Имея вышеописанные предпочтительные варианты осуществления, специалисту в уровне технике будет очевидно, что будут достигнуты конкретные преимущества описанного способа и устройства. Следует также учитывать, что различные модификации, адаптации и альтернативные варианты осуществления могут быть сделаны в объеме и сущности настоящего изобретения. Кроме того, изобретение определяется следующей формулой.Having the preferred embodiments described above, it will be apparent to those skilled in the art that the specific advantages of the described method and apparatus will be achieved. It will also be appreciated that various modifications, adaptations, and alternative embodiments may be made within the scope and spirit of the present invention. In addition, the invention is defined by the following claims.

Claims (12)

1. Способ лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом способ содержит этапы, на которых:
(a) идентифицируют наличие вредоносной программы в компьютере;
(b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;
(c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него;
(d) перезагружают компьютер.1. A method of treating a malicious program in a computer having multiple copies of the same activated malicious program, wherein multiple copies control the existence of each of them, the method comprising the steps of:
(a) identify the presence of malware on the computer;
(b) then block any actions that allow one active copy of the malware to activate another copy of the malware;
(c) after which the malicious program code and links to it are deleted from the permanent storage device;
(d) restart the computer. 2. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в постоянную память.2. The method according to claim 1, in which said actions include locking write to read-only memory. 3. Способ по п.1, в котором упомянутые действия включают в себя блокировку записи в системный реестр.3. The method according to claim 1, in which said actions include locking records in the system registry. 4. Способ по п.1, в котором упомянутые действия включают в себя блокировку запуска новых процессов.4. The method according to claim 1, in which the aforementioned actions include blocking the start of new processes. 5. Способ по п.1, в котором этап блокировки использует драйвер, загруженный в область ядра.5. The method according to claim 1, wherein the blocking step uses a driver loaded into the kernel area. 6. Способ по п.1, в котором этап идентификации использует сигнатурную идентификацию для обнаружения вредоносной программы.6. The method according to claim 1, wherein the identification step uses signature identification to detect malware. 7. Система лечения вредоносной программы в компьютере, имеющем множество копий той же самой активированной вредоносной программы, при этом множество копий контролирует существование каждой из них, при этом система содержит:
(a) модуль обнаружения вредоносной программы для идентификации наличия вредоносной программы;
(b) средство, установленное в области ядра, которое, после того, как идентифицировано наличие вредоносной программы модулем обнаружения вредоносной программы, блокирует действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;
(c) средство для удаления с постоянного запоминающего устройства кода вредоносной программы и ссылок на него, после того, как средство блокировки блокировало упомянутые действия; и
(d) средство для перезагрузки компьютера, которое перезагружает компьютер после того, как упомянутое средство удаления удалило файл, содержащий исполняемый код вредоносной программы.7. The malware treatment system in a computer that has many copies of the same activated malware, while many copies control the existence of each of them, while the system contains:
(a) a malware detection module for identifying malware;
(b) means installed in the kernel area, which, after the malware has been identified by the malware detection module, blocks actions that allow one active copy of the malware to activate another copy of the malware;
(c) means for removing malware code and links to it from the permanent storage device after the blocking means has blocked said actions; and
(d) means for restarting the computer, which restarts the computer after said removal tool has deleted the file containing the executable code of the malicious program. 8. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки записей в постоянную память.8. The system according to claim 7, in which the said locking means is designed to lock records in read-only memory. 9. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки записи в системный реестр.9. The system according to claim 7, in which the said means of blocking is designed to block recording in the system registry. 10. Система по п.7, в которой упомянутое средство блокировки предназначено для блокировки запуска новых процессов.10. The system according to claim 7, in which the said means of blocking is designed to block the launch of new processes. 11. Система по п.7, в которой упомянутый модуль обнаружения вредоносных программ использует сигнатурную идентификацию для определения вредоносных программ.11. The system of claim 7, wherein said malware detection module uses signature identification to identify malware. 12. Машиночитаемый носитель для анализа подозрительных объектов на наличие вредоносных программ и имеющий исполняемую компьютером программу, при исполнении которой выполняют следующие этапы:
(а) идентифицируют наличие вредоносной программы;
(b) затем блокируют любые действия, которые разрешают одной активной копии вредоносной программы активировать другую копию вредоносной программы;
(c) после чего удаляют с постоянного запоминающего устройства код вредоносной программы и ссылки на него; и
(d) перезагружают компьютер. 12. A machine-readable medium for analyzing suspicious objects for malicious programs and having a computer-executable program that, when executed, performs the following steps:
(a) identify the presence of malware;
(b) then block any actions that allow one active copy of the malware to activate another copy of the malware;
(c) after which the malicious program code and links to it are deleted from the permanent storage device; and
(d) restart the computer.
RU2007140042/09A 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment RU2363045C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2007140042/09A RU2363045C1 (en) 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2007140042/09A RU2363045C1 (en) 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment

Publications (2)

Publication Number Publication Date
RU2007140042A RU2007140042A (en) 2009-05-10
RU2363045C1 true RU2363045C1 (en) 2009-07-27

Family

ID=41019506

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2007140042/09A RU2363045C1 (en) 2007-10-31 2007-10-31 Method and system for removing malicious software which inhibit treatment

Country Status (1)

Country Link
RU (1) RU2363045C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2533303C2 (en) * 2012-04-19 2014-11-20 Хун-Чиэнь ЧОУ Antivirus computer system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2533303C2 (en) * 2012-04-19 2014-11-20 Хун-Чиэнь ЧОУ Antivirus computer system

Also Published As

Publication number Publication date
RU2007140042A (en) 2009-05-10

Similar Documents

Publication Publication Date Title
US8099785B1 (en) Method and system for treatment of cure-resistant computer malware
US8719935B2 (en) Mitigating false positives in malware detection
US8677491B2 (en) Malware detection
US9317686B1 (en) File backup to combat ransomware
US8397297B2 (en) Method and apparatus for removing harmful software
US8959639B2 (en) Method of detecting and blocking malicious activity
US8646080B2 (en) Method and apparatus for removing harmful software
US8220053B1 (en) Shadow copy-based malware scanning
US8453243B2 (en) Real time lockdown
US20110047618A1 (en) Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
US20060230454A1 (en) Fast protection of a computer's base system from malicious software using system-wide skins with OS-level sandboxing
US7845008B2 (en) Virus scanner for journaling file system
US20110078796A1 (en) Trusted Operating Environment For Malware Detection
US11494491B2 (en) Systems and methods for protecting against malware code injections in trusted processes by a multi-target injector
US20070094654A1 (en) Updating rescue software
US8495741B1 (en) Remediating malware infections through obfuscation
US8402539B1 (en) Systems and methods for detecting malware
Hamed et al. Protecting windows OS against local threats without using antivirus
US8201253B1 (en) Performing security functions when a process is created
WO2014044187A2 (en) A method and device for checking and removing computer viruses
RU2583714C2 (en) Security agent, operating at embedded software level with support of operating system security level
US7350235B2 (en) Detection of decryption to identify encrypted virus
RU2363045C1 (en) Method and system for removing malicious software which inhibit treatment
RU2583711C2 (en) Method for delayed elimination of malicious code
US20090217378A1 (en) Boot Time Remediation of Malware