RU2624540C2 - Method for detecting malicious software for computers archived according to unknown algorithm - Google Patents
Method for detecting malicious software for computers archived according to unknown algorithm Download PDFInfo
- Publication number
- RU2624540C2 RU2624540C2 RU2013152194A RU2013152194A RU2624540C2 RU 2624540 C2 RU2624540 C2 RU 2624540C2 RU 2013152194 A RU2013152194 A RU 2013152194A RU 2013152194 A RU2013152194 A RU 2013152194A RU 2624540 C2 RU2624540 C2 RU 2624540C2
- Authority
- RU
- Russia
- Prior art keywords
- archive
- computers
- algorithm
- actions
- files
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
Область техникиTechnical field
Данное изобретение относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах.This invention relates to methods for detecting computer malware on electronic devices.
Уровень техникиState of the art
Вредоносные программы для ЭВМ являются серьезной угрозой информационной безопасности электронных устройств, поскольку они способны без согласия владельца электронного устройства предоставить третьим лицам полный доступ к информации, размещенной на электронном устройстве, заблокировать данную информацию либо уничтожить ее.Malicious computer programs are a serious threat to the information security of electronic devices, since they are able, without the consent of the owner of the electronic device, to provide third parties with full access to the information stored on the electronic device, block this information or destroy it.
На сегодняшний день известны различные способы, позволяющие обнаружить вредоносные программы для ЭВМ, однако создатели вредоносных программ для ЭВМ применяют разнообразные способы для затруднения обнаружения вредоносных программ для ЭВМ на электронных устройствах. Одним из способов, затрудняющих обнаружение вредоносных программ для ЭВМ на электронных устройствах, является помещение в архивы (архивирование) таких вредоносных программ для ЭВМ при помощи соответствующих программ для ЭВМ, имеющих функции архивирования. Архивирование вредоносных программ для ЭВМ при помощи неизвестных антивирусным программам для ЭВМ алгоритмам архивирования приводит к невозможности обнаружения антивирусными программами для ЭВМ при помощи распространенного сигнатурного поиска такой заархивированной вредоносной программы для ЭВМ, поскольку архиваторы сжимают, видоизменяют и зашифровывают код вредоносной программы для ЭВМ.To date, various methods are known for detecting malware for computers, but the creators of malware for computers use a variety of methods to make it difficult to detect malware for computers on electronic devices. One of the ways that makes it difficult to detect malware for computers on electronic devices is to archive (archive) such malware for computers using appropriate computer programs that have archiving functions. Archiving malware for computers using archiving algorithms unknown to antivirus programs for computers makes it impossible for antivirus programs to detect using computers with the common signature-based search for such archived malware for computers, because archivers compress, modify and encrypt malware code for computers.
Вредоносные программ для ЭВМ, заархивированные по неизвестному алгоритму, не могут быть обнаружены антивирусными программами для ЭВМ до момента распаковки архива, даже если вирусные базы содержат сигнатуру данной вредоносной программы для ЭВМ в незаархивированном виде. Следовательно, необходимо использовать способы, которые позволят обнаруживать вредоносные программы для ЭВМ после того, как вредоносная программа для ЭВМ выполнит разархивирование, но до того, как она сможет нанести вред операционной системе ЭВМ и ЭВМ в целом.Malicious computer programs archived by an unknown algorithm cannot be detected by computer anti-virus programs until the archive is unpacked, even if the virus databases contain the signature of this malicious computer program in unarchived form. Therefore, it is necessary to use methods that will detect computer malware after the malware for the computer unzips it, but before it can harm the operating system of the computer and the computer as a whole.
Существующие на данный момент системы и способы обнаружения вредоносных программ для ЭВМ на электронных устройствах обладают общими недостатками.Existing systems and methods for detecting computer malware on electronic devices have common drawbacks.
Так, изобретение, описанное в патенте US 8151355 В2, предлагает систему и способ обнаружения нежелательных программ для ЭВМ в архивах. Основными недостатками данного способа является, во-первых, то, что данный способ применим только к известным алгоритмам архивации, во-вторых, производится лишь только сигнатурный поиск без проведения поведенческого анализа.Thus, the invention described in patent US 8151355 B2, provides a system and method for detecting unwanted computer programs in archives. The main disadvantages of this method is, firstly, that this method is applicable only to known archiving algorithms, and secondly, only a signature search is performed without conducting a behavioral analysis.
Наиболее близким к заявленному способу обнаружения вредоносных программ для ЭВМ заархивированных по неизвестному алгоритму является изобретение, описанное в патенте US 20090210943 A1. Данное изобретение предлагает способ обнаружения вирусов внутри архивов, защищенных паролями. Основными минусами данного способа по сравнению с заявленным способом являются следующие:Closest to the claimed method for detecting malware for computers archived by an unknown algorithm is the invention described in patent US 20090210943 A1. The present invention provides a method for detecting viruses inside password protected archives. The main disadvantages of this method compared to the claimed method are the following:
- способ применим только к известным алгоритмам архивации;- the method is applicable only to known archiving algorithms;
- содержащиеся внутри архива программы для ЭВМ не исследуются, решение о наличии, либо отсутствии в архиве вредоносной программы для ЭВМ принимается на основе поверхностных данных в виде заголовка архива, количества программ для ЭВМ содержащихся внутри архива и объема, занимаемого архивом.- the computer programs contained in the archive are not examined, the decision on the presence or absence of the computer malware in the archive is made on the basis of surface data in the form of the archive header, the number of computer programs contained in the archive and the volume occupied by the archive.
Раскрытие изобретенияDisclosure of invention
Задачей, на решение которой направлено заявляемое изобретение, является обнаружение вредоносных программ для ЭВМ заархивированных по алгоритму, неизвестному на момент проверки архива.The task to which the claimed invention is directed is to detect malware for computers archived according to an algorithm unknown at the time of checking the archive.
Данная задача решается за счет того, что способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: анализируют алгоритм, по которому были заархивированы файлы; производят анализ архива, если алгоритм архивации известен; выполняют действия согласно заданным пользователями настройкам в случае обнаружения вредоносных программ для ЭВМ на предыдущем этапе; выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе 1 признаков неизвестного алгоритма архивации; производят оценку действий, инициируемых архивом и заархивированных в нем программ для ЭВМ; приостанавливают действия и процессы инициируемые архивом, как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; снимают дамп памяти архива; производят анализ памяти архива и реконструкцию его исполняемого файла; передают модулю антивирусного сигнатурного поиска все реконструированные исполняемые файлы архива.This problem is solved due to the fact that the method for detecting malware for computers archived by an unknown algorithm includes the steps of: analyzing the algorithm by which the files were archived; analyze the archive if the archiving algorithm is known; perform actions according to the settings set by users in case of detection of malware for computers at the previous stage; carry out the assignment of the archive to the list of files that require constant monitoring of their activities in case of detection at stage 1 of signs of an unknown archiving algorithm; evaluate the actions initiated by the archive and the computer programs archived in it; suspend actions and processes initiated by the archive as soon as an attempt is made to take actions that are potentially inherent in a malicious program for computers; remove the archive memory dump; analyze archive memory and reconstruct its executable file; transmit all reconstructed archive executable files to the anti-virus signature search module.
Существенными признаками заявленного изобретения являются: 1) анализ алгоритма, по которому заархивированы файлы в архиве; 2) анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; 3) анализ и контроль действий архива, если алгоритм архивации известен; 4) приостановка действий и процессов инициируемых архивом в случае обнаружения в ходе анализа и контроля действий, попытки осуществления архивом действий, присущих вредоносным программам для ЭВМ; 5) снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкция исполняемых файлов из дампа памяти; 6) сигнатурный поиск по реконструированным из архива исполняемым файлам после реконструкции исполняемого файла.The essential features of the claimed invention are: 1) analysis of the algorithm by which archived files are archived; 2) analysis of the archive for the presence of malware for computers, if the archiving algorithm is known; 3) analysis and control of archive actions, if the archiving algorithm is known; 4) suspension of actions and processes initiated by the archive in case of detection during analysis and control of actions, attempts by the archive to carry out actions inherent in computer malware; 5) removal and analysis of a memory dump of an archive whose actions and processes are suspended, reconstruction of executable files from a memory dump; 6) signature search on executable files reconstructed from the archive after reconstruction of the executable file.
Техническим результатом, обеспечиваемым заявленным способом обнаружения вредоносных программ для ЭВМ на электронных устройствах, является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ.The technical result provided by the claimed method for detecting malware for computers on electronic devices is to increase the efficiency of protecting computers from the effects of malware for computers.
Осуществление изобретенияThe implementation of the invention
Заявленное изобретение осуществляется следующим образом:The claimed invention is as follows:
После того как архив помещен в операционную систему ЭВМ и был запущен в операционной системе ЭВМ, начинается отслеживание поведения процесса архива, контролируются все инициируемые архивом события и действия. Как только фиксируется попытка совершения архивом действий, потенциально присущих вредоносной программе (попытка доступа к памяти другого процесса, реестру или файловой системе, попытка перехвата траффика и другие), приостанавливается процесс архива. Приостановка процесса архива позволяет проверить, является ли архив вредоносным до того, как архив и хранящаяся в нем вредоносная программа для ЭВМ совершит какие-либо несанкционированные действия в операционной системе ЭВМ. Затем, снимается дамп памяти процесса архива и производится его анализ с целью воссоздания исполняемого файла(ов), содержащегося в архиве; при этом для одного процесса может быть реконструирован один или несколько исполняемых файлов. После реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.After the archive has been placed in the computer operating system and has been launched in the computer operating system, tracking of the archive process behavior begins, all events and actions initiated by the archive are monitored. As soon as an attempt is made to perform actions potentially inherent in a malicious program by the archive (an attempt to access the memory of another process, registry or file system, an attempt to intercept traffic, etc.), the archive process is suspended. Pausing the archive process allows you to check whether the archive is malicious before the archive and the malicious computer program stored in it perform any unauthorized actions in the computer operating system. Then, the memory dump of the archive process is removed and its analysis is performed in order to recreate the executable file (s) contained in the archive; however, for one process, one or more executable files can be reconstructed. After reconstruction, a signature search is performed on executable files reconstructed from the archive.
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013152194A RU2624540C2 (en) | 2013-11-25 | 2013-11-25 | Method for detecting malicious software for computers archived according to unknown algorithm |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013152194A RU2624540C2 (en) | 2013-11-25 | 2013-11-25 | Method for detecting malicious software for computers archived according to unknown algorithm |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2013152194A RU2013152194A (en) | 2015-05-27 |
RU2624540C2 true RU2624540C2 (en) | 2017-07-04 |
Family
ID=53284968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013152194A RU2624540C2 (en) | 2013-11-25 | 2013-11-25 | Method for detecting malicious software for computers archived according to unknown algorithm |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2624540C2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090049550A1 (en) * | 2007-06-18 | 2009-02-19 | Pc Tools Technology Pty Ltd | Method of detecting and blocking malicious activity |
US7568233B1 (en) * | 2005-04-01 | 2009-07-28 | Symantec Corporation | Detecting malicious software through process dump scanning |
WO2011090466A1 (en) * | 2010-01-20 | 2011-07-28 | Symantec Corporation | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
US20120079596A1 (en) * | 2010-08-26 | 2012-03-29 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
RU2491615C1 (en) * | 2012-02-24 | 2013-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of creating software detection records |
US20130298244A1 (en) * | 2012-05-01 | 2013-11-07 | Taasera, Inc. | Systems and methods for threat identification and remediation |
-
2013
- 2013-11-25 RU RU2013152194A patent/RU2624540C2/en active IP Right Revival
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7568233B1 (en) * | 2005-04-01 | 2009-07-28 | Symantec Corporation | Detecting malicious software through process dump scanning |
US20090049550A1 (en) * | 2007-06-18 | 2009-02-19 | Pc Tools Technology Pty Ltd | Method of detecting and blocking malicious activity |
WO2011090466A1 (en) * | 2010-01-20 | 2011-07-28 | Symantec Corporation | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
US20120079596A1 (en) * | 2010-08-26 | 2012-03-29 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
RU2491615C1 (en) * | 2012-02-24 | 2013-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of creating software detection records |
US20130298244A1 (en) * | 2012-05-01 | 2013-11-07 | Taasera, Inc. | Systems and methods for threat identification and remediation |
Also Published As
Publication number | Publication date |
---|---|
RU2013152194A (en) | 2015-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
McIntosh et al. | Ransomware mitigation in the modern era: A comprehensive review, research challenges, and future directions | |
Shaukat et al. | RansomWall: A layered defense system against cryptographic ransomware attacks using machine learning | |
Moussaileb et al. | A survey on windows-based ransomware taxonomy and detection mechanisms | |
JP5326062B1 (en) | Non-executable file inspection apparatus and method | |
EP2767923B1 (en) | Robust malware detector | |
Zolkipli et al. | A framework for malware detection using combination technique and signature generation | |
Luckett et al. | Neural network analysis of system call timing for rootkit detection | |
Ramilli et al. | Multi-stage delivery of malware | |
Čeponis et al. | Towards a robust method of dataset generation of malicious activity for anomaly-based HIDS training and presentation of AWSCTD dataset | |
Pandey et al. | Performance of malware detection tools: A comparison | |
JP5326063B1 (en) | Malicious shellcode detection apparatus and method using debug events | |
Kardile | Crypto ransomware analysis and detection using process monitor | |
Najari et al. | Malware detection using data mining techniques | |
Verma et al. | A literature review on malware and its analysis | |
Abuzaid et al. | An efficient trojan horse classification (ETC) | |
KR100745639B1 (en) | Method for protecting file system and registry and apparatus thereof | |
Wichmann et al. | Using infection markers as a vaccine against malware attacks | |
Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
Chowdhury et al. | Malware detection for healthcare data security | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
Uma et al. | Survey on Android malware detection and protection using data mining algorithms | |
KR101908517B1 (en) | Method for malware detection and unpack of malware using string and code signature | |
RU2624540C2 (en) | Method for detecting malicious software for computers archived according to unknown algorithm | |
Susanto et al. | AHMDS: Advanced Hybrid Malware Detector System | |
US9607152B1 (en) | Detect encrypted program based on CPU statistics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20170820 |
|
NF4A | Reinstatement of patent |
Effective date: 20190821 |