Kaspersky Lab патентує метод виявлення присутності руткітів

Kaspersky Lab запатентувала метод виявлення шкідливого ПЗ, яке ховається за допомогою руткітів, особливих програм змінюють роботу системних функцій. Патент №8677492, виданий Бюро по реєстрації патентів і торгових марок США, описує роботу захисного рішення зі спеціальним модулем, що дублює деякі функції ядра операційної системи, що дозволяє захисному рішенням отримувати достовірну інформацію, навіть якщо ОС заражена руткітам.

Зловмисники використовують руткіти, щоб приховати присутність шкідливих програм від захисних рішень. Для цього руткіт під виглядом легітимного драйвера інтегрується з ядром ОС, перехоплює виклики системних функцій від додатків і модифікує результати їх виконання, видаляючи згадки файлів і процесів, пов'язаних з троянцем. Це дозволяє приховати присутність шкідливого коду - небезпечна програма стає «невидимим» для користувача і інших додатків.

Патент, отриманий Kaspersky Lab, описує допоміжний модуль, дублюючий критично важливі функції ядра системи: роботу з файлами, контроль процесів, читання записів системного реєстру і т.д. Ключове завдання модуля - виявлення об'єктів, замаскованих руткітам. Для цього захисне рішення запитує список файлів або запущених процесів через основне ядро і паралельно дублює запит через допоміжний модуль. Порівняння отриманих відповідей дозволяє виявити об'єкти, які відсутні у списку від ядра ОС. Будь розбіжність є ознакою наявності руткіта, і захисне рішення може здійснити дії, щоб знешкодити приховувані їм об'єкти.

Допоміжне ядро може бути використане в різних режимах. На домашньому комп'ютері приводом для перевірки може бути сигнал від інших захисних підсистем про підозрілу поведінку об'єкта, що дозволить економити ресурси. Тоді як в корпоративному оточенні, вимагає більш високого рівня безпеки, контроль може бути постійним.

«Маскування за допомогою руткітів - це один з хитрих трюків, які зловмисники використовують для того, щоб утруднити виявлення шкідливого ПО. Ми, володіючи багатою експертизою в області IT-погроз, добре знаємо ці прийоми і впроваджуємо в свої продукти протидіючі їм механізми. У цьому полягає одна з наших переваг перед конкурентами, що в свою чергу підтверджується безліччю незалежних випробувань. І щоб зберегти цю перевагу, ми прагнемо отримувати патенти на такі технології. Запатентований механізм забезпечує ефективне виявлення об'єктів, прихованих у системі, дозволяючи справлятися з самими небезпечними атаками у разі як домашніх користувачів, так і великих компаній», - коментує автор патенту В'ячеслав Русаков, антивірусний експерт Kaspersky Lab.

Даний метод пошуку шкідливого коду реалізований в рішеннях Kaspersky Lab для домашніх і корпоративних користувачів, у тому числі Kaspersky Internet Security для всіх пристроїв, Kaspersky Crystal та Kaspersky Security для бізнесу.