Технология Origins Tracing помогает справиться с Android.SmsSend

[AM_Bot 48]

22 августа 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — успешно применяет технологию Origins Tracing™ в борьбе с угрозами для операционной системы Android. Эта уникальная технология позволяет заметно сократить объем вирусной базы без потери надежности защиты, что весьма актуально для современных мобильных устройств.

Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. Соответственно, объем вирусной базы, состоящей из набора таких сигнатур, увеличивается по мере добавления в нее новых записей. В свою очередь, вирусописатели с целью обхода защиты нередко перекомпилируют вредоносные файлы, либо немного изменяют исходный код вируса, не затрагивая его функциональность. В связи с этим существовала вероятность того, что антивирусное ПО не отреагирует на проникновение вредоносной программы в защищаемую систему, поскольку ее сигнатура отличается от имеющейся в базе.

Иным образом работает технология Origins Tracing™ от специалистов компании «Доктор Веб». Для каждой вредоносной программы создается специальный файл, описывающий алгоритм поведения данного образца, который добавляется в вирусную базу. При этом одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.

Технология Origins Tracing™ является уникальной разработкой компании «Доктор Веб», не имеющей на сегодняшний день аналогов. На протяжении нескольких лет она применяется в продуктах компании для настольных операционных систем, а недавно была включена и в новые версии программ Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light. Уже сейчас благодаря применению Origins Tracing™ эти программные продукты успешно борются с троянцами семейства Android.SmsSend. Данный вид программ-вымогателей предлагает пользователям отправить платное СМС-сообщение за установку абсолютно бесплатных приложений, таких, например, как браузер Opera Mini. После того как эта модификация троянца попала в базы Origins Tracing™ под именем Android.SmsSend.47, вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме. Следует отметить, что в ближайшем будущем спектр вредоносного ПО для платформы Android, детектируемого с использованием технологии Origins Tracing™, будет расширяться.

Источник

[Umnik 997]

Для каждой вредоносной программы создается специальный файл

Реально?

описывающий алгоритм поведения данного образца

Как-то все так размыто. И PDM можно подогнать, и BSS, и прочие не новые технологи...

[Valery Ledovskoy 1082]

Технология-то на самом деле неплохая при отсутствии других технологий типа HIPS. Возможно, даже лучше аналогов (ибо аналоги таки тоже есть).

Но...

вирусописатели неоднократно пытались изменить исходный код своего творения в надежде обойти защиту, однако это не принесло никаких результатов: каждая новая модификация троянца успешно распознается и детектируется антивирусной программой в автоматическом режиме.

как бы говорит о низкой квалификации вирус-мейкеров, хотя де-факто это не так. Возможно, они не борятся конкретно с Dr.Web, понимая, что процент использования этого продукта для Android не такой большой, и не сильно повлияет на профит. А если было бы надо, они бы придумали, как сделать так, чтобы пришлось постоянно корректировать эти записи. А их доработка куда сложнее, чем добавление новой записи в базу по "обычной" схеме.

Но в качестве просветительской новости - нормально. Нет ничего плохого в том, чтобы выпячивать те технологии, которые имеются. Без гипербол здесь сложно обойтись.

[Umnik 997]

Не, я не об этом. Поговорил с коллегой и дошло, что меня смущало.

Если речь идет только о мобильниках, то да, технология уникальна. Если технологию называют уникальной вообще (она применяется и на Виндах), то тогда это не так.

[K_Mikhail 807]

Не, я не об этом. Поговорил с коллегой и дошло, что меня смущало.

Если речь идет только о мобильниках, то да, технология уникальна. Если технологию называют уникальной вообще (она применяется и на Виндах), то тогда это не так.

В данном случае речь идёт только о мобильниках.