RU2624540C2 - Method for detecting malicious software for computers archived according to unknown algorithm - Google Patents

Method for detecting malicious software for computers archived according to unknown algorithm Download PDF

Info

Publication number
RU2624540C2
RU2624540C2 RU2013152194A RU2013152194A RU2624540C2 RU 2624540 C2 RU2624540 C2 RU 2624540C2 RU 2013152194 A RU2013152194 A RU 2013152194A RU 2013152194 A RU2013152194 A RU 2013152194A RU 2624540 C2 RU2624540 C2 RU 2624540C2
Authority
RU
Russia
Prior art keywords
archive
computers
algorithm
actions
files
Prior art date
Application number
RU2013152194A
Other languages
Russian (ru)
Other versions
RU2013152194A (en
Original Assignee
Общество с ограниченной ответственностью "Доктор Веб"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Доктор Веб" filed Critical Общество с ограниченной ответственностью "Доктор Веб"
Priority to RU2013152194A priority Critical patent/RU2624540C2/en
Publication of RU2013152194A publication Critical patent/RU2013152194A/en
Application granted granted Critical
Publication of RU2624540C2 publication Critical patent/RU2624540C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: method for detecting the malicious software for computers archived according to unknown algorithm, contains the following steps: I) analyze the algorithm by which the files are archived; II) analyze the archive for the presence of the malicious software for the computer, if the archivation algorithm is known; III) perform the archive assignment to the list of files, that require constant monitoring of its activity in case of detection the unknown archivation algorithm in step I; IV) suspend the actions and processes, initiated by the archive, as soon as the attempt of actions is identified as the potentially inherent to the malicious software for computer; V) make the removal and analysis of the archive memory dump, which actions and processes are suspended, the reconstruction of the executed files from the archive memory dump; VI) the signature search according to the executed files reconstructed from the archive is performed after reconstruction.
EFFECT: efficiency increase of the computer protection from the impact of malicious software for the computers.
1 cl

Description

Область техникиTechnical field

Данное изобретение относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах.This invention relates to methods for detecting computer malware on electronic devices.

Уровень техникиState of the art

Вредоносные программы для ЭВМ являются серьезной угрозой информационной безопасности электронных устройств, поскольку они способны без согласия владельца электронного устройства предоставить третьим лицам полный доступ к информации, размещенной на электронном устройстве, заблокировать данную информацию либо уничтожить ее.Malicious computer programs are a serious threat to the information security of electronic devices, since they are able, without the consent of the owner of the electronic device, to provide third parties with full access to the information stored on the electronic device, block this information or destroy it.

На сегодняшний день известны различные способы, позволяющие обнаружить вредоносные программы для ЭВМ, однако создатели вредоносных программ для ЭВМ применяют разнообразные способы для затруднения обнаружения вредоносных программ для ЭВМ на электронных устройствах. Одним из способов, затрудняющих обнаружение вредоносных программ для ЭВМ на электронных устройствах, является помещение в архивы (архивирование) таких вредоносных программ для ЭВМ при помощи соответствующих программ для ЭВМ, имеющих функции архивирования. Архивирование вредоносных программ для ЭВМ при помощи неизвестных антивирусным программам для ЭВМ алгоритмам архивирования приводит к невозможности обнаружения антивирусными программами для ЭВМ при помощи распространенного сигнатурного поиска такой заархивированной вредоносной программы для ЭВМ, поскольку архиваторы сжимают, видоизменяют и зашифровывают код вредоносной программы для ЭВМ.To date, various methods are known for detecting malware for computers, but the creators of malware for computers use a variety of methods to make it difficult to detect malware for computers on electronic devices. One of the ways that makes it difficult to detect malware for computers on electronic devices is to archive (archive) such malware for computers using appropriate computer programs that have archiving functions. Archiving malware for computers using archiving algorithms unknown to antivirus programs for computers makes it impossible for antivirus programs to detect using computers with the common signature-based search for such archived malware for computers, because archivers compress, modify and encrypt malware code for computers.

Вредоносные программ для ЭВМ, заархивированные по неизвестному алгоритму, не могут быть обнаружены антивирусными программами для ЭВМ до момента распаковки архива, даже если вирусные базы содержат сигнатуру данной вредоносной программы для ЭВМ в незаархивированном виде. Следовательно, необходимо использовать способы, которые позволят обнаруживать вредоносные программы для ЭВМ после того, как вредоносная программа для ЭВМ выполнит разархивирование, но до того, как она сможет нанести вред операционной системе ЭВМ и ЭВМ в целом.Malicious computer programs archived by an unknown algorithm cannot be detected by computer anti-virus programs until the archive is unpacked, even if the virus databases contain the signature of this malicious computer program in unarchived form. Therefore, it is necessary to use methods that will detect computer malware after the malware for the computer unzips it, but before it can harm the operating system of the computer and the computer as a whole.

Существующие на данный момент системы и способы обнаружения вредоносных программ для ЭВМ на электронных устройствах обладают общими недостатками.Existing systems and methods for detecting computer malware on electronic devices have common drawbacks.

Так, изобретение, описанное в патенте US 8151355 В2, предлагает систему и способ обнаружения нежелательных программ для ЭВМ в архивах. Основными недостатками данного способа является, во-первых, то, что данный способ применим только к известным алгоритмам архивации, во-вторых, производится лишь только сигнатурный поиск без проведения поведенческого анализа.Thus, the invention described in patent US 8151355 B2, provides a system and method for detecting unwanted computer programs in archives. The main disadvantages of this method is, firstly, that this method is applicable only to known archiving algorithms, and secondly, only a signature search is performed without conducting a behavioral analysis.

Наиболее близким к заявленному способу обнаружения вредоносных программ для ЭВМ заархивированных по неизвестному алгоритму является изобретение, описанное в патенте US 20090210943 A1. Данное изобретение предлагает способ обнаружения вирусов внутри архивов, защищенных паролями. Основными минусами данного способа по сравнению с заявленным способом являются следующие:Closest to the claimed method for detecting malware for computers archived by an unknown algorithm is the invention described in patent US 20090210943 A1. The present invention provides a method for detecting viruses inside password protected archives. The main disadvantages of this method compared to the claimed method are the following:

- способ применим только к известным алгоритмам архивации;- the method is applicable only to known archiving algorithms;

- содержащиеся внутри архива программы для ЭВМ не исследуются, решение о наличии, либо отсутствии в архиве вредоносной программы для ЭВМ принимается на основе поверхностных данных в виде заголовка архива, количества программ для ЭВМ содержащихся внутри архива и объема, занимаемого архивом.- the computer programs contained in the archive are not examined, the decision on the presence or absence of the computer malware in the archive is made on the basis of surface data in the form of the archive header, the number of computer programs contained in the archive and the volume occupied by the archive.

Раскрытие изобретенияDisclosure of invention

Задачей, на решение которой направлено заявляемое изобретение, является обнаружение вредоносных программ для ЭВМ заархивированных по алгоритму, неизвестному на момент проверки архива.The task to which the claimed invention is directed is to detect malware for computers archived according to an algorithm unknown at the time of checking the archive.

Данная задача решается за счет того, что способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: анализируют алгоритм, по которому были заархивированы файлы; производят анализ архива, если алгоритм архивации известен; выполняют действия согласно заданным пользователями настройкам в случае обнаружения вредоносных программ для ЭВМ на предыдущем этапе; выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе 1 признаков неизвестного алгоритма архивации; производят оценку действий, инициируемых архивом и заархивированных в нем программ для ЭВМ; приостанавливают действия и процессы инициируемые архивом, как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; снимают дамп памяти архива; производят анализ памяти архива и реконструкцию его исполняемого файла; передают модулю антивирусного сигнатурного поиска все реконструированные исполняемые файлы архива.This problem is solved due to the fact that the method for detecting malware for computers archived by an unknown algorithm includes the steps of: analyzing the algorithm by which the files were archived; analyze the archive if the archiving algorithm is known; perform actions according to the settings set by users in case of detection of malware for computers at the previous stage; carry out the assignment of the archive to the list of files that require constant monitoring of their activities in case of detection at stage 1 of signs of an unknown archiving algorithm; evaluate the actions initiated by the archive and the computer programs archived in it; suspend actions and processes initiated by the archive as soon as an attempt is made to take actions that are potentially inherent in a malicious program for computers; remove the archive memory dump; analyze archive memory and reconstruct its executable file; transmit all reconstructed archive executable files to the anti-virus signature search module.

Существенными признаками заявленного изобретения являются: 1) анализ алгоритма, по которому заархивированы файлы в архиве; 2) анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; 3) анализ и контроль действий архива, если алгоритм архивации известен; 4) приостановка действий и процессов инициируемых архивом в случае обнаружения в ходе анализа и контроля действий, попытки осуществления архивом действий, присущих вредоносным программам для ЭВМ; 5) снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкция исполняемых файлов из дампа памяти; 6) сигнатурный поиск по реконструированным из архива исполняемым файлам после реконструкции исполняемого файла.The essential features of the claimed invention are: 1) analysis of the algorithm by which archived files are archived; 2) analysis of the archive for the presence of malware for computers, if the archiving algorithm is known; 3) analysis and control of archive actions, if the archiving algorithm is known; 4) suspension of actions and processes initiated by the archive in case of detection during analysis and control of actions, attempts by the archive to carry out actions inherent in computer malware; 5) removal and analysis of a memory dump of an archive whose actions and processes are suspended, reconstruction of executable files from a memory dump; 6) signature search on executable files reconstructed from the archive after reconstruction of the executable file.

Техническим результатом, обеспечиваемым заявленным способом обнаружения вредоносных программ для ЭВМ на электронных устройствах, является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ.The technical result provided by the claimed method for detecting malware for computers on electronic devices is to increase the efficiency of protecting computers from the effects of malware for computers.

Осуществление изобретенияThe implementation of the invention

Заявленное изобретение осуществляется следующим образом:The claimed invention is as follows:

После того как архив помещен в операционную систему ЭВМ и был запущен в операционной системе ЭВМ, начинается отслеживание поведения процесса архива, контролируются все инициируемые архивом события и действия. Как только фиксируется попытка совершения архивом действий, потенциально присущих вредоносной программе (попытка доступа к памяти другого процесса, реестру или файловой системе, попытка перехвата траффика и другие), приостанавливается процесс архива. Приостановка процесса архива позволяет проверить, является ли архив вредоносным до того, как архив и хранящаяся в нем вредоносная программа для ЭВМ совершит какие-либо несанкционированные действия в операционной системе ЭВМ. Затем, снимается дамп памяти процесса архива и производится его анализ с целью воссоздания исполняемого файла(ов), содержащегося в архиве; при этом для одного процесса может быть реконструирован один или несколько исполняемых файлов. После реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.After the archive has been placed in the computer operating system and has been launched in the computer operating system, tracking of the archive process behavior begins, all events and actions initiated by the archive are monitored. As soon as an attempt is made to perform actions potentially inherent in a malicious program by the archive (an attempt to access the memory of another process, registry or file system, an attempt to intercept traffic, etc.), the archive process is suspended. Pausing the archive process allows you to check whether the archive is malicious before the archive and the malicious computer program stored in it perform any unauthorized actions in the computer operating system. Then, the memory dump of the archive process is removed and its analysis is performed in order to recreate the executable file (s) contained in the archive; however, for one process, one or more executable files can be reconstructed. After reconstruction, a signature search is performed on executable files reconstructed from the archive.

Claims (7)

Способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержащий этапы, на которых:A method for detecting malware for computers archived by an unknown algorithm, comprising the steps of: I) производят анализ алгоритма, по которому заархивированы файлы в архиве;I) analyze the algorithm by which archived files are archived; II) производят анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен;II) analyze the archive for the presence of malware for computers, if the archiving algorithm is known; III) выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе I признаков неизвестного алгоритма архивации;III) carry out the assignment of the archive to the list of files that require constant monitoring of their activities in case of detection of stage I signs of an unknown archiving algorithm; IV) приостанавливают действия и процессы, инициируемые архивом, как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ;Iv) suspend actions and processes initiated by the archive as soon as an attempt is made to take actions that are potentially inherent in a malicious program for computers; V) производят снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкцию исполняемых файлов из дампа памяти архива;V) perform the removal and analysis of the archive memory dump, the actions and processes of which are suspended, the reconstruction of executable files from the archive memory dump; VI) после реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.VI) after reconstruction, a signature search is performed on executable files reconstructed from the archive.
RU2013152194A 2013-11-25 2013-11-25 Method for detecting malicious software for computers archived according to unknown algorithm RU2624540C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013152194A RU2624540C2 (en) 2013-11-25 2013-11-25 Method for detecting malicious software for computers archived according to unknown algorithm

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013152194A RU2624540C2 (en) 2013-11-25 2013-11-25 Method for detecting malicious software for computers archived according to unknown algorithm

Publications (2)

Publication Number Publication Date
RU2013152194A RU2013152194A (en) 2015-05-27
RU2624540C2 true RU2624540C2 (en) 2017-07-04

Family

ID=53284968

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013152194A RU2624540C2 (en) 2013-11-25 2013-11-25 Method for detecting malicious software for computers archived according to unknown algorithm

Country Status (1)

Country Link
RU (1) RU2624540C2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090049550A1 (en) * 2007-06-18 2009-02-19 Pc Tools Technology Pty Ltd Method of detecting and blocking malicious activity
US7568233B1 (en) * 2005-04-01 2009-07-28 Symantec Corporation Detecting malicious software through process dump scanning
WO2011090466A1 (en) * 2010-01-20 2011-07-28 Symantec Corporation Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US20120079596A1 (en) * 2010-08-26 2012-03-29 Verisign, Inc. Method and system for automatic detection and analysis of malware
RU2491615C1 (en) * 2012-02-24 2013-08-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of creating software detection records
US20130298244A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for threat identification and remediation

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7568233B1 (en) * 2005-04-01 2009-07-28 Symantec Corporation Detecting malicious software through process dump scanning
US20090049550A1 (en) * 2007-06-18 2009-02-19 Pc Tools Technology Pty Ltd Method of detecting and blocking malicious activity
WO2011090466A1 (en) * 2010-01-20 2011-07-28 Symantec Corporation Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US20120079596A1 (en) * 2010-08-26 2012-03-29 Verisign, Inc. Method and system for automatic detection and analysis of malware
RU2491615C1 (en) * 2012-02-24 2013-08-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of creating software detection records
US20130298244A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for threat identification and remediation

Also Published As

Publication number Publication date
RU2013152194A (en) 2015-05-27

Similar Documents

Publication Publication Date Title
McIntosh et al. Ransomware mitigation in the modern era: A comprehensive review, research challenges, and future directions
Shaukat et al. RansomWall: A layered defense system against cryptographic ransomware attacks using machine learning
Moussaileb et al. A survey on windows-based ransomware taxonomy and detection mechanisms
JP5326062B1 (en) Non-executable file inspection apparatus and method
EP2767923B1 (en) Robust malware detector
Zolkipli et al. A framework for malware detection using combination technique and signature generation
Luckett et al. Neural network analysis of system call timing for rootkit detection
Ramilli et al. Multi-stage delivery of malware
Čeponis et al. Towards a robust method of dataset generation of malicious activity for anomaly-based HIDS training and presentation of AWSCTD dataset
Pandey et al. Performance of malware detection tools: A comparison
JP5326063B1 (en) Malicious shellcode detection apparatus and method using debug events
Kardile Crypto ransomware analysis and detection using process monitor
Najari et al. Malware detection using data mining techniques
Verma et al. A literature review on malware and its analysis
Abuzaid et al. An efficient trojan horse classification (ETC)
KR100745639B1 (en) Method for protecting file system and registry and apparatus thereof
Wichmann et al. Using infection markers as a vaccine against malware attacks
Kumar et al. A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques
Chowdhury et al. Malware detection for healthcare data security
US10880316B2 (en) Method and system for determining initial execution of an attack
Uma et al. Survey on Android malware detection and protection using data mining algorithms
KR101908517B1 (en) Method for malware detection and unpack of malware using string and code signature
RU2624540C2 (en) Method for detecting malicious software for computers archived according to unknown algorithm
Susanto et al. AHMDS: Advanced Hybrid Malware Detector System
US9607152B1 (en) Detect encrypted program based on CPU statistics

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20170820

NF4A Reinstatement of patent

Effective date: 20190821