Перейти к содержанию
AM_Bot

Технология Origins Tracing помогает справиться с Android.SmsSend

Recommended Posts

AM_Bot

22 августа 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — успешно применяет технологию Origins Tracing™ в борьбе с угрозами для операционной системы Android. Эта уникальная технология позволяет заметно сократить объем вирусной базы без потери надежности защиты, что весьма актуально для современных мобильных устройств.

Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. Соответственно, объем вирусной базы, состоящей из набора таких сигнатур, увеличивается по мере добавления в нее новых записей. В свою очередь, вирусописатели с целью обхода защиты нередко перекомпилируют вредоносные файлы, либо немного изменяют исходный код вируса, не затрагивая его функциональность. В связи с этим существовала вероятность того, что антивирусное ПО не отреагирует на проникновение вредоносной программы в защищаемую систему, поскольку ее сигнатура отличается от имеющейся в базе.

Иным образом работает технология Origins Tracing™ от специалистов компании «Доктор Веб». Для каждой вредоносной программы создается специальный файл, описывающий алгоритм поведения данного образца, который добавляется в вирусную базу. При этом одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.

Технология Origins Tracing™ является уникальной разработкой компании «Доктор Веб», не имеющей на сегодняшний день аналогов. На протяжении нескольких лет она применяется в продуктах компании для настольных операционных систем, а недавно была включена и в новые версии программ Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light. Уже сейчас благодаря применению Origins Tracing™ эти программные продукты успешно борются с троянцами семейства Android.SmsSend. Данный вид программ-вымогателей предлагает пользователям отправить платное СМС-сообщение за установку абсолютно бесплатных приложений, таких, например, как браузер Opera Mini. После того как эта модификация троянца попала в базы Origins Tracing™ под именем Android.SmsSend.47, вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме. Следует отметить, что в ближайшем будущем спектр вредоносного ПО для платформы Android, детектируемого с использованием технологии Origins Tracing™, будет расширяться.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Для каждой вредоносной программы создается специальный файл

Реально?

описывающий алгоритм поведения данного образца

Как-то все так размыто. И PDM можно подогнать, и BSS, и прочие не новые технологи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Технология-то на самом деле неплохая при отсутствии других технологий типа HIPS. Возможно, даже лучше аналогов (ибо аналоги таки тоже есть).

Но...

вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме.

как бы говорит о низкой квалификации вирус-мейкеров, хотя де-факто это не так. Возможно, они не борятся конкретно с Dr.Web, понимая, что процент использования этого продукта для Android не такой большой, и не сильно повлияет на профит. А если было бы надо, они бы придумали, как сделать так, чтобы пришлось постоянно корректировать эти записи. А их доработка куда сложнее, чем добавление новой записи в базу по "обычной" схеме.

Но в качестве просветительской новости - нормально. Нет ничего плохого в том, чтобы выпячивать те технологии, которые имеются. Без гипербол здесь сложно обойтись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Не, я не об этом. Поговорил с коллегой и дошло, что меня смущало.

Если речь идет только о мобильниках, то да, технология уникальна. Если технологию называют уникальной вообще (она применяется и на Виндах), то тогда это не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Не, я не об этом. Поговорил с коллегой и дошло, что меня смущало.

Если речь идет только о мобильниках, то да, технология уникальна. Если технологию называют уникальной вообще (она применяется и на Виндах), то тогда это не так.

В данном случае речь идёт только о мобильниках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×