«Лаборатория Касперского» сообщает о патентовании в США передовой технологии борьбы с неизвестными угрозами

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об успешном патентовании в США передовой технологии в области информационной безопасности. Технология позволяет детектировать и удалять все, в том числе ранее неизвестные вредоносные программы, установленные на компьютер пользователя в результате одного и того же вирусного инцидента.

Современные вредоносные программы широко используют метод проникновения на компьютеры пользователей с помощью троянских технологий. Загрузившись и установившись в систему, такой троянец скачивает из интернета множество других вредоносных программ. Таким образом на компьютере пользователя могут оказаться десятки различных вредоносных кодов и их компонентов.

Часть из них могут оказаться новыми вредоносными программами с ещё не занесёнными в антивирусные базы сигнатурами, либо неизвестными технологиями обхода детектирования. Поэтому такое вредоносное ПО не обнаруживается антивирусными средствами сразу же после заражения компьютера и может оставаться в системе ещё некоторое время, проявляя свой деструктивный функционал.

Такая неполнота антивирусной защиты делает особо актуальной задачу детектирования и удаления всех вредоносных программ и их компонентов, загруженных и установленных на компьютер пользователя в результате вирусного инцидента. Решить её можно используя новейшую технологию «Лаборатории Касперского», разработанную Михаилом Павлющиком.

Патент на данную технологию зарегистрирован под номером 7 472 420 Патентным бюро США 30 декабря 2008 года. Описанные в патенте метод и его реализация позволяют при обнаружении только одного вредоносного компонента детектировать и удалять все вредоносные программы, появившиеся в вычислительной системе в рамках одного и того же вирусного инцидента, а также устанавливать источник инцидента и время его возникновения.

Новая технология основана на протоколировании системных событий, указывающих на возможность вирусного заражения (таких как изменение исполняемых файлов и/или запись в системном регистре), и последующем определении рамок вирусного инцидента по сделанным записям. Согласно запатентованной технологии, при обнаружении вредоносного процесса или файла запускается анализатор предшествующих событий, что позволяет определять источник и время заражения. Затем система анализирует все дочерние события, порождённые найденным источником, что дает возможность детектировать все участвовавшие в инциденте вредоносные программы, в том числе ранее неизвестные.

Кроме детектирования, новая технология обеспечивает удаление зловредных кодов или постановку их на карантин, прерывание вредоносных процессов, восстановление доверенных копий системных файлов из резервного хранилища. Информация о вредоносных программах, обнаруженных с помощью новейшего запатентованного метода, может быть мгновенно отправлена антивирусным вендорам в целях ускорения их ответа на новые угрозы.

Определение источника и условий заражения полезно для предотвращения подобных вирусных инцидентов в будущем, например, для выявления и блокирования инфицированных сайтов, обнаружения и закрытия уязвимостей программного обеспечения и т.д. Кроме того, восстановление полной картины вирусного инцидента, её документирование могут стать основой для успешного криминалистического анализа и доказательства вины киберпреступника.

В настоящее время патентные организации США и России рассматривают более трех десятков патентных заявок «Лаборатории Касперского», описывающих уникальные инновационные технологии в области информационной безопасности.

Технологии «Лаборатории Касперского» используются ведущими IT-компаниями мира, в том числе Microsoft, Bluecoat, Juniper Networks, Clearswift, Borderware, Checkpoint, Sonicwall, Websense, LanDesk, Alt-N, ZyXEL, ASUS и D-Link.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru