Перейти к содержанию
AM_Bot

Технология Origins Tracing помогает справиться с Android.SmsSend

Recommended Posts

AM_Bot

22 августа 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — успешно применяет технологию Origins Tracing™ в борьбе с угрозами для операционной системы Android. Эта уникальная технология позволяет заметно сократить объем вирусной базы без потери надежности защиты, что весьма актуально для современных мобильных устройств.

Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. Соответственно, объем вирусной базы, состоящей из набора таких сигнатур, увеличивается по мере добавления в нее новых записей. В свою очередь, вирусописатели с целью обхода защиты нередко перекомпилируют вредоносные файлы, либо немного изменяют исходный код вируса, не затрагивая его функциональность. В связи с этим существовала вероятность того, что антивирусное ПО не отреагирует на проникновение вредоносной программы в защищаемую систему, поскольку ее сигнатура отличается от имеющейся в базе.

Иным образом работает технология Origins Tracing™ от специалистов компании «Доктор Веб». Для каждой вредоносной программы создается специальный файл, описывающий алгоритм поведения данного образца, который добавляется в вирусную базу. При этом одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.

Технология Origins Tracing™ является уникальной разработкой компании «Доктор Веб», не имеющей на сегодняшний день аналогов. На протяжении нескольких лет она применяется в продуктах компании для настольных операционных систем, а недавно была включена и в новые версии программ Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light. Уже сейчас благодаря применению Origins Tracing™ эти программные продукты успешно борются с троянцами семейства Android.SmsSend. Данный вид программ-вымогателей предлагает пользователям отправить платное СМС-сообщение за установку абсолютно бесплатных приложений, таких, например, как браузер Opera Mini. После того как эта модификация троянца попала в базы Origins Tracing™ под именем Android.SmsSend.47, вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме. Следует отметить, что в ближайшем будущем спектр вредоносного ПО для платформы Android, детектируемого с использованием технологии Origins Tracing™, будет расширяться.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Для каждой вредоносной программы создается специальный файл

Реально?

описывающий алгоритм поведения данного образца

Как-то все так размыто. И PDM можно подогнать, и BSS, и прочие не новые технологи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Технология-то на самом деле неплохая при отсутствии других технологий типа HIPS. Возможно, даже лучше аналогов (ибо аналоги таки тоже есть).

Но...

вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме.

как бы говорит о низкой квалификации вирус-мейкеров, хотя де-факто это не так. Возможно, они не борятся конкретно с Dr.Web, понимая, что процент использования этого продукта для Android не такой большой, и не сильно повлияет на профит. А если было бы надо, они бы придумали, как сделать так, чтобы пришлось постоянно корректировать эти записи. А их доработка куда сложнее, чем добавление новой записи в базу по "обычной" схеме.

Но в качестве просветительской новости - нормально. Нет ничего плохого в том, чтобы выпячивать те технологии, которые имеются. Без гипербол здесь сложно обойтись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Не, я не об этом. Поговорил с коллегой и дошло, что меня смущало.

Если речь идет только о мобильниках, то да, технология уникальна. Если технологию называют уникальной вообще (она применяется и на Виндах), то тогда это не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Не, я не об этом. Поговорил с коллегой и дошло, что меня смущало.

Если речь идет только о мобильниках, то да, технология уникальна. Если технологию называют уникальной вообще (она применяется и на Виндах), то тогда это не так.

В данном случае речь идёт только о мобильниках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В Win7 dns лог работать таки не будет, увы там он дырявый и почти все проходит мимо него, в win 8.0 в ограниченном виде будет работать.
      В Win11 лог отключается сразу, глюка как с 10-кой нет, что радует все-таки что-то исправляют.
    • Ego Dekker
      Домашние антивирусы были обновлены до версии 14.2.23.
    • demkd
      повторюсь, отключение сбора информации не происходит до перезагрузки из-за криворукости microsoft, врочем нагрузка низкая и можно и не отключать вообще, запущенный браузер иногда пишет на диск раз в 20 больше за тоже время и это если ему оперативки вполне хватает.
    • santy
      ясно, будет рекомендовать выполнить regt 40 сразу после создания образа автозапуска.
    • PR55.RP55
      Так не пойдёт. Люди бывает начинают лечение - выполняют первый скрипт куда включена команда regt 39 ( скрипт помогает ...)  и на этом всё. Если тем много - оператор может забыть о regt 40 Бывает  народ неделями не перезагружает PC ( не говоря о серверах ) Бывает народ занимается самолечением, или выполняет чужие скрипты, или "свои" скрипты из своей предыдущей\старой темы. т.е. параллельно с применением  regt 39 - должна создаваться задача которая по прошествии 2-3-х суток это дело прекратит.    
×