RU2530210C2 - Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы - Google Patents

Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы Download PDF

Info

Publication number
RU2530210C2
RU2530210C2 RU2012156439/08A RU2012156439A RU2530210C2 RU 2530210 C2 RU2530210 C2 RU 2530210C2 RU 2012156439/08 A RU2012156439/08 A RU 2012156439/08A RU 2012156439 A RU2012156439 A RU 2012156439A RU 2530210 C2 RU2530210 C2 RU 2530210C2
Authority
RU
Russia
Prior art keywords
operating system
user
system interface
user interaction
interaction
Prior art date
Application number
RU2012156439/08A
Other languages
English (en)
Other versions
RU2012156439A (ru
Inventor
Иван Иванович Татаринов
Владислав Валерьевич Мартыненко
Алексей Владимирович Монастырский
Михаил Александрович Павлющик
Константин Владимирович Сапронов
Юрий Геннадьевич Слободянюк
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2012156439/08A priority Critical patent/RU2530210C2/ru
Priority to US13/853,468 priority patent/US8856542B2/en
Priority to EP13166544.0A priority patent/EP2750066B1/en
Publication of RU2012156439A publication Critical patent/RU2012156439A/ru
Application granted granted Critical
Publication of RU2530210C2 publication Critical patent/RU2530210C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Social Psychology (AREA)
  • User Interface Of Digital Computer (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Изобретение относится к области систем и способов выявления факта присутствия в операционной системе вредоносных программ, которые препятствуют работе пользователя с операционной системой. Техническим результатом является выявление присутствия вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы. Для выявления фактов присутствия в операционной системе упомянутых вредоносных программ: (а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы; (б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и (в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с упомянутой вредоносной программой, выявляют факт присутствия этой вредоносной программы в операционной системе. 2 н. и 9 з.п. ф-лы, 6 ил.

Description

Область техники
Изобретение относится к антивирусным системам и способам, более конкретно к системам и способам выявления фактов присутствия в операционной системе вредоносного программного обеспечения, препятствующего нормальной работе пользователя с операционной системой.
Уровень техники
В настоящее время компьютерное вредоносное программное обеспечение, такое как вирусы, компьютерные черви и троянские программы, представляют одну из самых важных проблем компьютерной безопасности. Было подсчитано, что ежегодные финансовые потери предпринимательства от вредоносного программного обеспечения составляют десятки миллиардов долларов.
В последние годы получило распространение семейство вредоносных программ, блокирующих или затрудняющих работу пользователя с операционной системой и требующих перечисления денег злоумышленникам за восстановление работоспособности компьютера. Далее по тексту в рамках патентной заявки термин вредоносные программы будет относиться к упомянутому семейству.
Программы, относящиеся указанному семейству, технически представляют собой обычную троянскую программу, и заражение происходит из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.
Для противодействия данному семейству вредоносных программ антивирусные компании традиционно используют базовый метод сигнатурного обнаружения, основанный на сравнении кода программ с сигнатурами известных вредоносных программ, хранящихся в антивирусных базах. Альтернативным же решением проблемы резкого увеличения числа вредоносных программ стало использование сочетания нескольких технологий проактивной антивирусной защиты, основной целью которых в отличие от реактивных (сигнатурных) технологий является предотвращение заражения системы пользователя неизвестным вредоносным программным обеспечением. Например, эвристический анализ при эмуляции кода успешно сочетается с поведенческим анализом для предотвращения заражения операционной системы пользователя вредоносной программой.
В режиме эмуляции кода имитируется поведение операционной системы и центрального процессора, поэтому приложение не может нанести вред операционной системе пользователя. Эвристический анализ на основе анализа кода приложения определяет участки кода, отвечающие за вредоносную активность. А поведенческий анализатор режима исполнения определяет, является ли программа вредоносной исходя из ее поведения.
Основным преимуществом таких технологий является их способность отличать безопасные программы от вредоносных без помощи профессионального вирусного аналитика. Проблема же заключается в том, что существует некая промежуточная зона между явно вредоносными и допустимыми действиями. Кроме того, одни и те же действия или участки кода могут быть вредоносными в программе, предназначенной для вымогательства денег, и полезными в легитимном программном обеспечении. Например, запуск полноэкранного приложения с окном поверх остальных окон используется вредоносной программой для затруднения взаимодействия пользователя с графическим интерфейсом операционной системы и совершенно легитимно применяется в компьютерных играх, например, когда игровое компьютерное приложение запускается на весь экран и не реагирует на специальные сочетания клавиш, такие как ALT-F4 или ALT-TAB.
В связи с этим существует вероятность отсутствия обнаружения с использованием технологий антивирусной защиты неизвестной ранее вредоносной программы, что приведет к блокированию работы пользователя с операционной системой и, как следствие, к блокированию доступа пользователя к инструментам антивирусного продукта. Поэтому существует необходимость создания способов выявления присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы, для оперативного вмешательства антивирусного продукта.
Существует метод обнаружения вредоносных программ, описанный, например, в патенте US7533131B2. В основе данного метода лежит выявление повторяющейся вредоносной активности после первичного выявления и удаления вредоносной программы с целью удаления с компьютерной системы пользователя пропущенных ранее файлов.
Или существует другой метод, описанный в патенте US8171550B2, по которому осуществляется выявление ранее неизвестных вредоносных программ по функциональным шаблонам известных вредоносных программ. Вредоносный файл трассируется и разбивается на «пути» - последовательности исполняемых функций. Пути объединяются в шаблоны, с помощью которых можно обнаруживать ранее неизвестные вредоносные программы, например полиморфные версии, по схожему вредоносному функционалу.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения существующих методов для выявления фактов присутствия в операционной системе вредоносной программы.
Раскрытие изобретения
Настоящее изобретение реализует способ выявления факта присутствия в операционной системе вредоносных программ, которые препятствуют работе пользователя с операционной системой.
Технический результат настоящего изобретения заключается в выявлении присутствия вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы. Данный технический результат достигается посредством анализа совокупности внешних по отношению к вредоносной программе признаков: поведению пользователя и состоянию операционной системы.
Система выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, содержит: (а) средство поведенческого анализа пользователя, осуществляющее сравнение последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, с шаблонами поведений, характеризующими возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы, и передающее результаты сравнения средству принятия решения; (б) средство анализа состояния операционной системы, осуществляющее сравнение текущего состояния операционной системы с шаблонами состояний, характеризующих работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, и передающее результаты сравнения средству принятия решения; (в) средство хранения упомянутых шаблонов поведений, характеризующих возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы, и упомянутых шаблонов состояний, характеризующих работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; при этом средство хранения шаблонов поведений и шаблонов состояний связано со средством поведенческого анализа пользователя и средством анализа состояния операционной системы; и (г) средство принятия решения, выявляющее факт присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы, по результатам сравнений, полученным от упомянутого средства поведенческого анализа пользователя и упомянутого средства анализа состояния операционной системы.
В частном варианте осуществления система выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, дополнительно содержит средство обнаружения вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, осуществляющее сравнение характеристик активных процессов с базой известных характеристик вредоносных программ.
В другом частном варианте осуществления система выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, дополнительно содержит средство деактивации вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, завершающее обнаруженные активные процессы, совпадающие собственными характеристиками с известными характеристиками вредоносных программ.
Согласно способу выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы: (а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы; (б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и (в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, выявляют факт присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы.
В частном варианте осуществления обнаруживают активные процессы, препятствующие взаимодействию пользователя с интерфейсом операционной системы, сравнивая характеристики активных процессов с базой известных характеристик вредоносных программ.
В другом частном варианте завершают обнаруженные активные процессы, совпадающие собственными характеристиками с известными характеристиками вредоносных программ.
В другом частном варианте выявление наступления события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, осуществляется по последовательностям данных, формирующихся в процессе работы пользователя с интерфейсами ввода.
В другом частном варианте осуществления выявление упомянутых последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, осуществляется в рамках временного окна.
В другом частном варианте осуществления выявление упомянутых последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, осуществляется по факту заполнения буфера данных.
В другом частном варианте осуществления сравнивают упомянутые последовательности данных, формирующихся в процессе работы пользователя с интерфейсами ввода, с шаблонами, характеризующими возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы, и по результатам сравнения принимают решение о наступлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы.
В другом частном варианте осуществления последовательности данных, формирующихся в процессе работы пользователя с интерфейсами ввода, могут содержать, по меньшей мере: последовательности вводимых с клавиатуры символов и временные показатели между вводимыми символами; команды и координаты от указательных и сенсорных устройств управления; фото-, видео- и аудиоданные.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг.1 иллюстрирует примеры различных окон с сообщениями и инструкциями для разблокировки операционной системы.
Фиг.2А показывает принципиальную архитектуру системы одного из вариантов осуществления изобретения.
Фиг.2Б отображает типовую схему функционирования средства поведенческого анализа пользователя.
Фиг.2В показывает архитектуру системы в другом варианте осуществления изобретения.
Фиг.3 иллюстрирует способ работы данного изобретения.
Фиг.4 показывает пример компьютерной системы общего назначения.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Вредоносные программы могут распространяться через сайты, предлагающие бесплатное программное обеспечение, файлообменники и взломанные легитимные веб-ресурсы. Зачастую пользователи сами загружают и запускают вредоносную программу, полагая, что устанавливают легитимное программное обеспечение.
Набор стандартных действий вредоносной программы выглядит следующим образом:
1. После попадания в систему и запуска вредоносная программа для закрепления в системе создает файл и прописывает его в автозагрузку операционной системы.
2. Как правило, вредоносная программа отключает диспетчер задач Microsoft Windows и возможность загрузки системы в безопасном режиме. Это делается для того, чтобы усложнить пользователю борьбу с вредоносной программой, блокирующей взаимодействие пользователя с операционной системой.
3. Далее начинается непосредственная «работа» вредоносной программы. Вредоносная программа блокирует взаимодействие пользователя с операционной системой, отображая поверх всех окон окно с сообщением о том, что компьютер заблокирован, и «инструкцией» для разблокировки. В «инструкции» злоумышленники под разными предлогами требуют, чтобы пользователь заплатил за коды разблокировки, и информируют его о том, каким образом он получит коды и сможет разблокировать компьютер после оплаты. Примеры различных окон с сообщениями и инструкциями приведены на Фиг.1.
Последнее время создатели вредоносных программ могут даже не закладывать возможность разблокировки в логику работы вредоносной программы. Более того, в обновленных версиях тех вредоносных программ, которые раньше «честно» давали пользователю возможность разблокировать компьютер, эта функция уже может быть не предусмотрена.
Объясняется такая тенденция просто. Во-первых, для авторов вредоносных программ очень неудобно работать с кодами разблокировки: нужно вставлять новые коды в новые версии вредоносной программы, постоянно следить за базой соответствия телефонных номеров и кодов разблокировки. Гораздо проще компилировать новые образцы вредоносных программ, не заботясь о кодах, - просто заменяя номера мобильных телефонов/счетов для получения денег.
Во-вторых, применение кодов разблокировки обязывает злоумышленников использовать только те способы оплаты, которые позволяют отправлять ответные сообщения пользователям (как правило, в этой схеме используются мобильные премиум-номера). Без привязки к коду разблокировки мошенники могут эксплуатировать любые удобные им способы получения денег.
И, наконец, в-третьих, отсутствие кода разблокировки значительно усложняет жизнь антивирусным компаниям. Ранее компании добавляли найденные во вредоносных программах коды разблокировки на специальные сервисы снятия блокировки известных вредоносных программ, например Kaspersky Deblocker. Такие сервисы предоставляют пользователям коды разблокировки, соответствующие номерам телефонов/счетов, которые используют злоумышленники, и инструкции по лечению операционной системы. В настоящее время при отсутствии кодов разблокировки во вредоносных программах антивирусные компании противопоставляют им специальные утилиты, например Kaspersky Windows Unlocker. Утилита работает отдельно от зараженной операционной системы и благодаря этому способна устранять последствия заражения, удаляя файлы и ключи системного реестра, созданные вредоносной программой.
Очевидно, что в случае отсутствия обнаружения средствами антивирусной защиты вредоносной программы заражение операционной системы приведет к блокированию работы пользователя с операционной системой и, как следствие, к невозможности осуществления доступа к инструментам антивирусного продукта со стороны пользователя. Таким образом, на данный момент для снятия блокировки пользователю неизбежно приходится обращаться к специальным сервисам посредством сторонней компьютерной системы.
Данное изобретение позволяет пользователю справляться с ситуациями блокирования взаимодействия пользователя с операционной системой со стороны вредоносных программ без помощи сторонних утилит и ресурсов путем распознания соответствующих ситуаций, связанных с нарушениями во взаимодействии пользователя с интерфейсом операционной системы.
На Фиг.2А изображена принципиальная архитектура одного из вариантов осуществления изобретения. Система выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, включает в себя четыре средства: средство хранения шаблонов 201, средство поведенческого анализа пользователя 205, средство анализа состояния операционной системы 210 и средство принятия решения 215. Средство хранения шаблонов 201 содержит, по меньшей мере, две пополняемые базы данных: базу 202 шаблонов поведений, характеризующих возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы; и базу 203 шаблонов состояний, характеризующих работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы. Средство поведенческого анализа пользователя 205 предназначено для выявления признаков в поведении пользователя, характерных для определенных ситуаций, например, связанных с нарушениями во взаимодействии пользователя с интерфейсом операционной системы. В процессе работы средство поведенческого анализа 205 взаимодействует со средством хранения шаблонов 201, оперируя известными шаблонами поведений, находящимися в пополняемой базе 202 шаблонов поведений. Средство анализа состояния операционной системы 210 осуществляет сравнение текущего состояния операционной системы с шаблонами состояний из базы 203 шаблонов состояний, характеризующих работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы. На основании результатов работы двух средств: средства поведенческого анализа пользователя 205 и средства анализа состояния операционной системы 210 - средство принятия решения 215 делает вывод о присутствии в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы.
Состояние операционной системы может лишь свидетельствовать о том, что в операционной системе работает вредоносная программа, затрудняющая пользователю взаимодействие с интерфейсом операционной системы, без указания, какое конкретно приложение ей является. Признаками, включаемыми в шаблоны состояний из базы 203 шаблонов состояний, указывающих на работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, могут быть, например:
- ограничение зоны работы курсора; или
- отключение элементов управления, таких как кнопка «Пуск» или диспетчер задач; и др.
Стоит отметить, что средство анализа состояний операционной системы 210 чаще всего выступает вспомогательным средством при установлении факта присутствия в операционной системе вредоносной программы и необходимо для подтверждения, нежели самостоятельного установления данного факта. Такое применение средства анализа состояний операционной системы 210 обусловлено тем, что признаки, указывающие на состояние операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, могут характеризовать операционную систему и без активного заражения со стороны вредоносных программ. Поэтому средство принятия решения 215 делает вывод о присутствии в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы, исходя из данных от двух аналитических средств: средства поведенческого анализа 205 и средства анализа состояния операционной системы 210.
Для наглядного представления принципа работы средства поведенческого анализа пользователя 205 необходимо разобрать его простейшую типовую схему функционирования, приведенную на Фиг.2Б. На данной схеме средство поведенческого анализа 205' включает в себя два основных модуля. Первый модуль 206 состоит из различных средств мониторинга данных, формирующихся в процессе работы пользователя с интерфейсами ввода. По меньшей мере, одно из средств мониторинга данных может иметь аппаратную реализацию. Второй модуль 207 - это средство анализа данных, которое анализирует последовательности данных и взаимодействует со средством хранения шаблонов 201, оперируя известными шаблонами поведений, находящимися в пополняемой базе 202 шаблонов поведений, характеризующих возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы.
Под интерфейсами операционной системы согласно «Словарям» Yandex () подразумеваются средства и способы взаимодействия пользователей с операционной системой компьютера или пользовательской программой. В рамках данного изобретения необходимо различать графический интерфейс пользователя (взаимодействие с компьютером организуется с помощью пиктограмм, меню, диалоговых окон и пр.) и интерфейсы ввода (средства взаимодействия пользователя с компьютером). В частности запуск вредоносной программы приводит к блокированию графического интерфейса пользователя. А интерфейсами ввода могут быть, например, средства ввода данных, такие как клавиатура, мышь или сенсорные элементы управления, а также средства фото-, видео- и аудиозахвата данных и другие средства.
В процессе взаимодействия пользователя с операционной системой посредством интерфейсов ввода в рамках компьютерной системы 211 циркулируют, по меньшей мере, следующие данные, перехват которых могут осуществлять средства мониторинга данных 206:
- последовательности вводимых с клавиатуры символов и временные показатели между вводимыми символами;
- команды и координаты от указательных и сенсорных устройств управления;
- фото-, видео- и аудиоданные; и
- другие данные.
Из перехватываемых данных в рамках определенного временного окна формируются последовательности данных, анализ которых осуществляет средство анализа 207 путем сравнения их с шаблонами поведений из базы 202 шаблонов поведений, характеризующих возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы. Временное окно может быть выбрано в интервале от нескольких секунд до нескольких минут. Альтернативой временному окну может быть, например, буфер определенного размера, формирующий последовательности данных для анализа по факту заполнения. При этом в одном из вариантов реализации буфер может работать по принципу FIFO (акроним First In, Firs Out, обозначающий принцип «первым пришел - первым ушел»), когда при поступлении от клавиатуры нового кода о нажатии клавиши или поступлении события от мыши первые поступившие данные в начале очереди вытесняются последними данными в конце очереди. В еще одном варианте реализации буфер может очищаться, если от одной секунды до нескольких минут в него не поступало новых данных.
Простейшим примером описания поведения пользователя, указывающего на нарушение во взаимодействии пользователя, к примеру, с графическим интерфейсом операционной системы, может быть нажатие определенной комбинации заранее заданных клавиш, указанных в шаблоне поведения из базы 202 шаблонов поведения. В более сложном варианте исполнения нарушение во взаимодействии пользователя с интерфейсом операционной системы может быть установлено и описано в шаблоне поведения по характеру и последовательностям вводимых пользователем символов, к примеру по многократным, повторяющимся нажатиям специальных комбинаций клавиш, таких как CTRL+ALT+DELETE, ALT+F4, ALT+TAB, CTRL+SHIFT+ESC и т.п. Также частота и несвязность нажимаемых пользователем клавиш могут свидетельствовать о панике пользователя, вызванной блокированием взаимодействия пользователя с операционной системой. В другом варианте реализации признаки паники у пользователя могут быть выявлены, например, посредством анализа фото-, видео-, аудиоданных путем выявления усиления вибраций при взаимодействии пользователя со средством сенсорного управления, а также посредством выявления отклонений от обычного поведения пользователя и другими способами.
Типовая архитектура средства поведенческого анализа 205', изображенного на Фиг.2Б, позволяет реализовывать различные сценарии выявления ситуаций, связанных с нарушением во взаимодействии пользователя с интерфейсом операционной системы. Возможности средства поведенческого анализа 205' определяются лишь набором интерфейсов ввода, доступных в рамках каждой конкретной компьютерной системы 211, которые определяют задействованные средства мониторинга данных 206. И, как следствие, определяют способы описания шаблонов поведений из базы 202 шаблонов поведений, характеризующих возможные варианты поведения пользователя при нарушениии во взаимодействии пользователя с интерфейсом операционной системы.
Очевидно, что приведенные выше варианты поведения пользователя, в широком варианте, могут свидетельствовать о фактах возникновения проблем у пользователя и, в более конкретном варианте, могут свидетельствовать о нарушении во взаимодействии пользователя с интерфейсом операционной системы. И лишь в сочетании с положительным вердиктом от средства анализа состояния операционной системы 210 позволят средству принятия решения 215 сделать вывод о присутствии в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы.
В другом варианте осуществления данного изобретения система выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, изображенная на Фиг.2В, дополнительно содержит средство обнаружения вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, 220 и средство деактивации вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, 230.
Средство обнаружения вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, 220 осуществляет сравнение наборов характеристик активных процессов с базой 225 известных характеристик вредоносных программ. Данные характеристики могут включать в себя характеристики окон и поведение приложений, например:
- присутствует полноэкранное окно или окно размером большим, чем разрешение экрана;
- присутствует окно с отсутствующим системным оконным меню (SYSMENU, кнопки MINIMIZE, MAXIMIZE и т.д.) или окно CHILD, POPUP;
- у окна установлен флаг TOPMOST (окно поверх всех остальных окон) или ТОР (более мягкое условие);
- окно постоянно меняет свой параметр Z-ORDER на ТОР или TOPMOST;
- установлены хуки (программные обработчики перехватываемого ввода) на клавиатуру и мышь без дальнейшей передачи управления (жесткое условие) или просто хуки на клавиатуру и мышь (мягкое условие);
- приложение, запускающее само себя в случае удаления из памяти, т.е. запущены 2 процесса из одного исполняемого файла, при этом каждый процесс отслеживает наличие второго в памяти; и др.
При обнаружении активных процессов, совпадающих собственными характеристиками с известными характеристиками вредоносных программ из базы 225 известных характеристик вредоносных программ, средство деактивации вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, 230 осуществляет их принудительное завершение.
На Фиг.3 изображена схема реализации способа выявления факта присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы. По данной схеме на этапе 301 осуществляется анализ последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, после чего на этапе 305 формируется вывод об обнаружении события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы. В случае если такое событие не обнаружено, способ возвращается на первый этап 301. При обнаружении события осуществляется переход к этапу 310, на котором осуществляется анализ состояния операционной системы. Если в результате анализа 310 на этапе 315 не будет установлено состояние, характерное для операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, то способ вернется к первому этапу 301. Выявление факта присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы, на этапе 320 осуществляется только в случае двух положительных вердиктов, когда на этапе 305 имеет место быть нарушение во взаимодействии пользователя с интерфейсом операционной системы и дополнительно на этапе 315 установлено состояние операционной системы, характеризуемое присутствием в ней вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы.
По способу выявления факта присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы, изображенному на Фиг.3, этапы 301 и 310 выполняются последовательно для наглядного представления одного из вариантов осуществления данного изобретения. В другом варианте осуществления данного изобретения этапы 301 и 310 могут выполняться параллельно.
Фиг.4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленные компьютеры (или компьютер) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (11)

1. Система выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, содержит:
(а) средство поведенческого анализа пользователя, осуществляющее сравнение последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, с шаблонами поведений, характеризующими возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы, и передающее результаты сравнения средству принятия решения;
(б) средство анализа состояния операционной системы, осуществляющее сравнение текущего состояния операционной системы с шаблонами состояний, характеризующих работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, и передающее результаты сравнения средству принятия решения;
(в) средство хранения упомянутых шаблонов поведений, характеризующих возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы, и упомянутых шаблонов состояний, характеризующих работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; при этом средство хранения шаблонов поведений и шаблонов состояний связано со средством поведенческого анализа пользователя и средством анализа состояния операционной системы; и
(г) средство принятия решения, выявляющее факт присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы, по результатам сравнений, полученным от упомянутого средства поведенческого анализа пользователя и упомянутого средства анализа состояния операционной системы.
2. Система по п.1, в которой дополнительно присутствует средство обнаружения вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, осуществляющее сравнение характеристик активных процессов с базой известных характеристик вредоносных программ.
3. Система по п.2, в которой дополнительно присутствует средство деактивации вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, завершающее обнаруженные активные процессы, совпадающие собственными характеристиками с известными характеристиками вредоносных программ.
4. Способ выявления фактов присутствия в операционной системе вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы, содержащий этапы, на которых:
(а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы;
(б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и
(в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы, выявляют факт присутствия в операционной системе вредоносной программы, препятствующей взаимодействию пользователя с интерфейсом операционной системы.
5. Способ по п.4, по которому обнаруживают активные процессы, препятствующие взаимодействию пользователя с интерфейсом операционной системы, сравнивая характеристики активных процессов с базой известных характеристик вредоносных программ.
6. Способ по п.5, по которому завершают обнаруженные активные процессы, совпадающие собственными характеристиками с известными характеристиками вредоносных программ.
7. Способ по п.4, в котором выявление наступления упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, осуществляется по последовательностям данных, формирующихся в процессе работы пользователя с интерфейсами ввода.
8. Способ по п.7, в котором выявление упомянутых последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, осуществляется в рамках временного окна.
9. Способ по п.7, в котором выявление упомянутых последовательностей данных, формирующихся в процессе работы пользователя с интерфейсами ввода, осуществляется по факту заполнения буфера данных.
10. Способ по п.7, в котором сравнивают упомянутые последовательности данных, формирующихся в процессе работы пользователя с интерфейсами ввода, с шаблонами, характеризующими возможные варианты поведения пользователя при нарушении во взаимодействии пользователя с интерфейсом операционной системы, и по результатам сравнения принимают решение о наступлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы.
11. Способ по п.7, последовательности данных, формирующихся в процессе работы пользователя с интерфейсами ввода, могут содержать, по меньшей мере:
последовательности вводимых с клавиатуры символов и временные показатели между вводимыми символами;
команды и координаты от указательных и сенсорных устройств управления;
фото-, видео- и аудиоданные.
RU2012156439/08A 2012-12-25 2012-12-25 Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы RU2530210C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2012156439/08A RU2530210C2 (ru) 2012-12-25 2012-12-25 Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US13/853,468 US8856542B2 (en) 2012-12-25 2013-03-29 System and method for detecting malware that interferes with the user interface
EP13166544.0A EP2750066B1 (en) 2012-12-25 2013-05-03 System and method for detecting malware that interferes with a user interface

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012156439/08A RU2530210C2 (ru) 2012-12-25 2012-12-25 Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы

Publications (2)

Publication Number Publication Date
RU2012156439A RU2012156439A (ru) 2014-06-27
RU2530210C2 true RU2530210C2 (ru) 2014-10-10

Family

ID=50976383

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012156439/08A RU2530210C2 (ru) 2012-12-25 2012-12-25 Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы

Country Status (2)

Country Link
US (1) US8856542B2 (ru)
RU (1) RU2530210C2 (ru)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018026303A1 (ru) * 2016-08-03 2018-02-08 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
RU2755006C2 (ru) * 2020-02-26 2021-09-09 Акционерное общество "Лаборатория Касперского" Испытательный стенд мониторинга, контроля и анализа для оценки влияния вредоносного ПО на функционирование определенной конфигурации системы промышленной автоматизации и способ, реализующийся на нем
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2527738C1 (ru) * 2013-04-24 2014-09-10 Общество с ограниченной ответственностью "НАНО Секьюрити" Способ обезвреживания вредоносных программ, блокирующих работу пк, с использованием отдельного устройства для активации пользователем процедуры противодействия вредоносному программному обеспечению
GB2505284B (en) * 2013-06-17 2014-07-23 F Secure Corp Anti-Malware Tool for Mobile Apparatus
US9679134B1 (en) * 2014-03-20 2017-06-13 Symantec Corporation Systems and methods for detecting display-controlling malware
US9703962B2 (en) 2014-10-09 2017-07-11 Qualcomm Incorporated Methods and systems for behavioral analysis of mobile device behaviors based on user persona information
US11017383B2 (en) * 2014-12-04 2021-05-25 Mastercard International Incorporated Method and system for identifying merchants selling ransomware
US9875357B2 (en) 2015-02-06 2018-01-23 Qualcomm Incorporated Methods and systems for detecting fake user interactions with a mobile device for improved malware protection
CN106295328B (zh) 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
US9606854B2 (en) 2015-08-13 2017-03-28 At&T Intellectual Property I, L.P. Insider attack resistant system and method for cloud services integrity checking
US11170104B1 (en) * 2015-08-21 2021-11-09 Amazon Technologies, Inc. Identifying attacks on file systems
US10049215B2 (en) 2015-09-15 2018-08-14 The Johns Hopkins University Apparatus and method for preventing access by malware to locally backed up data
US10140454B1 (en) * 2015-09-29 2018-11-27 Symantec Corporation Systems and methods for restarting computing devices into security-application-configured safe modes
RU2617631C2 (ru) 2015-09-30 2017-04-25 Акционерное общество "Лаборатория Касперского" Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере
EP3151147B1 (en) * 2015-09-30 2017-12-13 AO Kaspersky Lab System and method for detection of malicious data encryption programs
US20170149804A1 (en) * 2015-11-20 2017-05-25 Lastline, Inc. Methods and systems for malware host correlation
US9998483B2 (en) 2015-12-22 2018-06-12 Mcafee, Llc Service assurance and security of computing systems using fingerprinting
US11425169B2 (en) 2016-03-11 2022-08-23 Netskope, Inc. Small-footprint endpoint data loss prevention (DLP)
US10609075B2 (en) 2016-05-22 2020-03-31 Guardicore Ltd. Masquerading and monitoring of shared resources in computer networks
US20170366563A1 (en) * 2016-06-21 2017-12-21 Guardicore Ltd. Agentless ransomware detection and recovery
US10264002B2 (en) 2016-07-14 2019-04-16 Mitsui Bussan Secure Directions, Inc. Program, information processing device, and information processing method
JP5996145B1 (ja) * 2016-07-14 2016-09-21 三井物産セキュアディレクション株式会社 プログラム、情報処理装置、及び情報処理方法
US10346258B2 (en) 2016-07-25 2019-07-09 Cisco Technology, Inc. Intelligent backup system
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
KR102107277B1 (ko) * 2016-08-08 2020-05-06 (주)나무소프트 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
US10614042B2 (en) 2016-08-08 2020-04-07 Microsoft Technology Licensing, Llc Detection of bulk operations associated with remotely stored content
US10616210B2 (en) 2016-08-19 2020-04-07 Microsoft Technology Licensing, Llc Protection feature for data stored at storage service
EP3480707A4 (en) * 2016-09-05 2019-08-14 Huawei Technologies Co., Ltd. AUDIO PROCESSING METHOD AND DEVICE
KR102573921B1 (ko) * 2016-09-13 2023-09-04 삼성전자주식회사 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
US10579795B1 (en) * 2016-09-13 2020-03-03 Ca, Inc. Systems and methods for terminating a computer process blocking user access to a computing device
US10387648B2 (en) 2016-10-26 2019-08-20 Cisco Technology, Inc. Ransomware key extractor and recovery system
US11200314B2 (en) 2016-12-15 2021-12-14 Hewlett-Packard Development Company, L.P. Ransomware attack monitoring
US10169586B2 (en) 2016-12-31 2019-01-01 Fortinet, Inc. Ransomware detection and damage mitigation
US10516688B2 (en) 2017-01-23 2019-12-24 Microsoft Technology Licensing, Llc Ransomware resilient cloud services
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
US20180248896A1 (en) * 2017-02-24 2018-08-30 Zitovault Software, Inc. System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
US10862916B2 (en) * 2017-04-03 2020-12-08 Netskope, Inc. Simulation and visualization of malware spread in a cloud-based collaboration environment
CN107045608B (zh) * 2017-04-13 2020-05-01 成都亚信网络安全产业技术研究院有限公司 一种检测恶意软件的方法及装置
US10878067B2 (en) * 2017-07-13 2020-12-29 Nec Corporation Of America Physical activity and IT alert correlation
US10983602B2 (en) 2017-09-05 2021-04-20 Microsoft Technology Licensing, Llc Identifying an input device
US10733290B2 (en) 2017-10-26 2020-08-04 Western Digital Technologies, Inc. Device-based anti-malware
US11321464B2 (en) 2017-12-22 2022-05-03 Wipro Limited Method and system for generating cognitive security intelligence for detecting and preventing malwares
US11223649B2 (en) * 2018-05-06 2022-01-11 Nec Corporation User-added-value-based ransomware detection and prevention
CN109145604A (zh) * 2018-08-21 2019-01-04 成都网思科平科技有限公司 一种勒索软件智能检测方法及系统
RU2739865C2 (ru) * 2018-12-28 2020-12-29 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного файла
US11856022B2 (en) 2020-01-27 2023-12-26 Netskope, Inc. Metadata-based detection and prevention of phishing attacks
US11347849B2 (en) 2020-04-03 2022-05-31 International Business Machines Corporation Ransomware detection and prevention

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2427890C2 (ru) * 2009-10-01 2011-08-27 ЗАО "Лаборатория Касперского" Система и способ сравнения файлов на основе шаблонов функциональности

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6282655B1 (en) 1999-05-24 2001-08-28 Paul Given Keyboard motion detector
AU2001245408A1 (en) * 2000-03-03 2001-09-17 Merinta, Inc. System and method for tracking user interaction with a graphical user interface
US7392160B2 (en) * 2002-12-18 2008-06-24 Fortent Limited System and method for monitoring usage patterns
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US7533131B2 (en) 2004-10-01 2009-05-12 Webroot Software, Inc. System and method for pestware detection and removal
US7475135B2 (en) * 2005-03-31 2009-01-06 International Business Machines Corporation Systems and methods for event detection
IL173472A (en) 2006-01-31 2010-11-30 Deutsche Telekom Ag Architecture for identifying electronic threat patterns
US8171550B2 (en) 2006-08-07 2012-05-01 Webroot Inc. System and method for defining and detecting pestware with function parameters
US20100004977A1 (en) * 2006-09-05 2010-01-07 Innerscope Research Llc Method and System For Measuring User Experience For Interactive Activities
JP2008283394A (ja) * 2007-05-09 2008-11-20 Matsushita Electric Ind Co Ltd 通信装置及び通信用集積回路
US8041338B2 (en) 2007-09-10 2011-10-18 Microsoft Corporation Mobile wallet and digital payment
US8180886B2 (en) * 2007-11-15 2012-05-15 Trustwave Holdings, Inc. Method and apparatus for detection of information transmission abnormalities
US8595834B2 (en) * 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US8763127B2 (en) 2009-03-13 2014-06-24 Rutgers, The State University Of New Jersey Systems and method for malware detection
US8429751B2 (en) * 2009-03-13 2013-04-23 Trustwave Holdings, Inc. Method and apparatus for phishing and leeching vulnerability detection
US8307068B2 (en) * 2009-06-17 2012-11-06 Volonics Corporation Supervised access computer network router
US8743053B2 (en) * 2009-08-31 2014-06-03 Adobe Systems Incorporation Restricting cursor movement to track an existing path
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
CA2691129A1 (en) 2010-01-26 2011-07-26 Lloyd A. Liske Activex object method and computer program system for protecting against crimeware key stroke loggers
US20120167218A1 (en) 2010-12-23 2012-06-28 Rajesh Poornachandran Signature-independent, system behavior-based malware detection
US8671347B2 (en) 2011-01-07 2014-03-11 Empire Technology Development Llc Quantifying frustration via a user interface
JP5737082B2 (ja) * 2011-08-31 2015-06-17 富士通株式会社 ポインタ位置補正方法、ポインタ位置補正プログラムおよびサーバ装置
US8918878B2 (en) * 2011-09-13 2014-12-23 F-Secure Corporation Restoration of file damage caused by malware

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2427890C2 (ru) * 2009-10-01 2011-08-27 ЗАО "Лаборатория Касперского" Система и способ сравнения файлов на основе шаблонов функциональности

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
WO2018026303A1 (ru) * 2016-08-03 2018-02-08 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
RU2649793C2 (ru) * 2016-08-03 2018-04-04 ООО "Группа АйБи" Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
RU2755006C2 (ru) * 2020-02-26 2021-09-09 Акционерное общество "Лаборатория Касперского" Испытательный стенд мониторинга, контроля и анализа для оценки влияния вредоносного ПО на функционирование определенной конфигурации системы промышленной автоматизации и способ, реализующийся на нем
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack

Also Published As

Publication number Publication date
US8856542B2 (en) 2014-10-07
RU2012156439A (ru) 2014-06-27
US20140181971A1 (en) 2014-06-26

Similar Documents

Publication Publication Date Title
RU2530210C2 (ru) Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US11687653B2 (en) Methods and apparatus for identifying and removing malicious applications
Javaheri et al. Detection and elimination of spyware and ransomware by intercepting kernel-level system routines
KR102307534B1 (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
US8079085B1 (en) Reducing false positives during behavior monitoring
RU2571723C2 (ru) Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
RU2580032C2 (ru) Система и способ определения категории доверенности приложения
US9547765B2 (en) Validating a type of a peripheral device
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US7627898B2 (en) Method and system for detecting infection of an operating system
US8898775B2 (en) Method and apparatus for detecting the malicious behavior of computer program
US7870612B2 (en) Antivirus protection system and method for computers
US20060294592A1 (en) Automated rootkit detector
JP2019082989A (ja) 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法
EP2515250A1 (en) System and method for detection of complex malware
US20110093953A1 (en) Preventing and responding to disabling of malware protection software
JP6341964B2 (ja) 悪意のあるコンピュータシステムを検出するシステム及び方法
CN105760787A (zh) 用于检测随机存取存储器中的恶意代码的系统及方法
RU2645265C2 (ru) Система и способ блокировки элементов интерфейса приложения
US9251350B2 (en) Trusted operating environment for malware detection
US8201253B1 (en) Performing security functions when a process is created
Gandotra et al. Malware intelligence: beyond malware analysis
KR20170036465A (ko) 악성 코드 탐지 시스템 및 방법
EP2750066B1 (en) System and method for detecting malware that interferes with a user interface
Dieterich et al. Evaluation of Persistence Methods Used by Malware on Microsoft Windows Systems.