система и способ аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере
Классы МПК: | G06F11/277 со сравниванием фактического результата испытаний с известным заведомо истинным результатом |
Автор(ы): | Зайцев Олег Владимирович (RU) |
Патентообладатель(и): | Закрытое акционерное общество "Лаборатория Касперского" (RU) |
Приоритеты: |
подача заявки:
2011-06-28 публикация патента:
10.02.2014 |
Изобретение относится к вычислительной технике. Технический результат заключается в улучшении защиты от распространения неизвестного вредоносного ПО. Способ аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК содержит этапы, на которых: подготавливают и осуществляют серию экспериментов, при этом экспериментом является осуществление имитации подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией; производят анализ изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов; определяют в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, и определяют, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО, при этом: если обнаружено неизвестное вредоносное ПО на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения, то формируют механизм лечения и применяют его к проверяемому ПК. 2 н. и 26 з.п. ф-лы, 4 ил.
Формула изобретения
1. Способ аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК, содержащий этапы, на которых:
I - подготавливают и осуществляют серию экспериментов, при этом экспериментом является осуществление имитации подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией;
II - производят анализ изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов;
III - определяют в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, и определяют, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО, при этом:
А) если обнаружено неизвестное вредоносное ПО на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения, то формируют механизм лечения и применяют его к проверяемому ПК.
2. Способ по п.1, в котором механизмом лечения является, по меньшей мере, сценарий, и механизм лечения позволяет, по меньшей мере, удалить вредоносное ПО на проверяемом ПК.
3. Способ по п.1, в котором количество экспериментов задано или определяется в динамике в зависимости от результатов выполненных экспериментов.
4. Способ по п.1, в котором в рамках подготовки к эксперименту выбирают тип имитируемого устройства, данные, которые его идентифицируют, а также информацию, которой будет заполнено данное имитируемое устройство.
5. Способ по п.1, в котором после каждого эксперимента проводят антивирусную проверку той информации, целостность которой была нарушена по сравнению с состоянием до осуществления эксперимента, позволяющую обнаружить известное вредоносное ПО на проверяемом ПК и определить, возможно ли механизмом лечения удалить обнаруженное известное вредоносное ПО.
6. Способ по п.5, в котором осуществляется формирование механизма лечения и удаление известного вредоносного ПО с возможностью удаления с помощью механизма лечения, обнаруженного на проверяемом ПК при антивирусной проверке, путем применения механизма лечения к проверяемому ПК, после чего формируется и осуществляется следующий эксперимент.
7. Способ по п.1, в котором информация, целостность которой была нарушена по сравнению с состоянием до осуществления эксперимента, сохраняется для анализа после проведения всех экспериментов в случае, если при антивирусной проверке обнаружено наличие на проверяемом ПК неизвестного вредоносного ПО.
8. Способ по п.7, в котором, если при антивирусной проверке обнаружено наличие на проверяемом ПК неизвестного вредоносного ПО, то формируется и осуществляется следующий эксперимент, при этом эксперимент формируется с учетом необходимости изучить в ходе данного эксперимента, по меньшей мере, одной особенности поведения неизвестного вредоносного ПО.
9. Способ по п.1, в котором анализ данных, полученных в ходе всех экспериментов, предназначен для выделения закономерностей в поведении неизвестного вредоносного ПО, установленного на проверяемом ПК, на основании которых определяется, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО.
10. Способ по п.1, в котором формируют рекомендации, которые следует использовать, чтобы вручную удалить обнаруженное вредоносное ПО или препятствовать его распространению в случае, если для обнаруженного вредоносного ПО на проверяемом ПК не существует возможности удаления с помощью механизма лечения.
11. Система аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК, содержащая:
I - по меньшей мере, один модуль подключения устройства, связанный с контроллером, который предназначен для соединения проверяемого ПК с заявленной системой, информирования контроллера о факте подключения, передачи на данный проверяемый ПК экспериментов и механизмов лечения, при этом модуль подключения выполнен с возможностью получать от проверяемого ПК данные в ходе каждого эксперимента;
II - упомянутый контроллер, также связанный с антивирусным модулем и предназначенный для:
A) инициирования антивирусного модуля после получения от модуля подключения информации о том, что заявленная система подключена к проверяемому ПК;
B) передачи от антивирусного модуля на модуль подключения экспериментов и механизмов лечения, а также передачи данных в ходе каждого эксперимента от модуля подключения на антивирусный модуль;
III - упомянутый антивирусный модуль, также связанный с, по меньшей мере, одним модулем памяти, и предназначенный для:
A) подготовки экспериментов и передачи их на проверяемый ПК, при этом экспериментом, который формирует и осуществляет антивирусный модуль, является имитация подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией;
B) проведения анализа изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов;
C) определения в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, оценки возможности удаления данного неизвестного вредоносного ПО с помощью механизма лечения, и, если существует возможность удаления данного неизвестного вредоносного ПО с помощью механизма лечения, то формирования механизма лечения и применения его к проверяемому ПК.
IV - по меньшей мере, один модуль памяти, связанный с антивирусным модулем и содержащий информацию, необходимую для подготовки экспериментов, осуществления антивирусной проверки, а также для формирования механизма лечения обнаруженного вредоносного ПО, установленного на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения.
12. Система по п.11, в которой механизмом лечения, формируемым антивирусным модулем, является, по меньшей мере, сценарий, и механизм лечения, формируемый антивирусным модулем, позволяет, по меньшей мере, удалить вредоносное ПО на проверяемом ПК.
13. Система по п.11, в которой модуль памяти содержит:
A) контентную базу данных, содержащую объем данных, который предназначен для формирования эксперимента, а именно для заполнения имитируемого внешнего устройства или другого ПК;
B) базу данных идентификаторов устройств, содержащую объем данных, который предназначен для формирования эксперимента, а именно для определения и идентификации имитируемого устройства или другого ПК;
C) базу данных с результатами экспериментов, которая разделена на две части, при этом первая часть содержит изменяемые эксперименты, которые передаются на проверяемый ПК, а вторая часть содержит неизменяемые эксперименты, которые являются копией изменяемых экспериментов, на проверяемый ПК не передаются и используются для сравнения с информацией из первой части указанной базы данных с результатами экспериментов после прекращения эксперимента;
D) антивирусную базу данных, выполненную с возможностью обновления и содержащую информацию, предназначенную для осуществления антивирусной проверки с целью обнаружения известного вредоносного ПО, установленного на проверяемом ПК, а также предназначенную для хранения информации, которая была добавлена или изменена в изменяемом эксперименте.
14. Система по п.11, в которой антивирусный модуль для формирования эксперимента выбирает данные из контентной базы данных и базы данных идентификаторов, которые позволяют определить и идентифицировать имитируемое устройство или другой ПК, а также информацию, которой будет заполнено имитируемое устройство или другой ПК, далее помещает данный эксперимент в первую и вторую часть базы данных с результатами экспериментов, и передает на проверяемый ПК через контроллер и модуль подключения изменяемый эксперимент из первой части базы данных с экспериментами.
15. Система по п.11, в которой вредоносное ПО нарушает целостность изменяемого эксперимента, а именно информации, которой заполнено имитируемое устройство или другой ПК, и по анализу изменений в изменяемом эксперименте антивирусный модуль может определить факт наличия на проверяемом ПК вредоносного ПО.
16. Система по п.15, в которой антивирусный модуль после прекращения эксперимента сравнивает изменяемый и неизменяемый эксперименты, и, если обнаружено нарушение целостности изменяемого эксперимента по сравнению с неизменяемым, то антивирусный модуль запускает антивирусную проверку с целью обнаружить известное вредоносное ПО, установленное на проверяемом ПК, при этом для целей антивирусной проверки антивирусный модуль использует данные из антивирусной базы данных.
17. Система по п.15, в которой антивирусный модуль определяет, возможно ли механизмом лечения удалить обнаруженное известное вредоносное ПО, и, если существует возможность осуществить удаление обнаруженного известного вредоносного ПО с помощью механизма лечения, то антивирусный модуль формирует механизм лечения и применяет его к проверяемому ПК, удаляя известное вредоносное ПО, после чего антивирусный модуль формирует и осуществляет следующий эксперимент.
18. Система по п.15, в которой информация, которая была добавлена или изменена в изменяемом эксперименте, сохраняется в антивирусной базе данных для анализа после проведения всех экспериментов, если в рамках антивирусной проверки антивирусным модулем обнаружено наличие на проверяемом ПК неизвестного вредоносного ПО.
19. Система по п.15, в которой, если при антивирусной проверке антивирусным модулем обнаружено наличие на проверяемом ПК неизвестного вредоносного ПО, то антивирусным модулем формируется и осуществляется следующий эксперимент, при этом эксперимент формируется с учетом необходимости изучить в ходе данного эксперимента, по меньшей мере, одной особенности поведения неизвестного вредоносного ПО.
20. Система по п.11, в которой количество экспериментов, которое должен выполнить антивирусный модуль, задано или определяется антивирусным модулем в динамике в зависимости от результатов выполненных экспериментов.
21. Система по п.11, в которой выполняемый антивирусным модулем анализ данных, полученных в ходе всех экспериментов, позволяет выделить закономерности в поведении неизвестного вредоносного ПО, установленного на проверяемом ПК, на основании которых антивирусный модуль определяет, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО.
22. Система по п.11, в которой антивирусный модуль выполнен с возможностью передачи информации о ходе выполнения заявленной системой экспериментов на контроллер, а также формирования отчета о проделанных экспериментах и передачи его на контроллер.
23. Система по п.11, в которой антивирусный модуль формирует и передает на контроллер рекомендации, которые следует использовать, чтобы вручную удалить вредоносное ПО или препятствовать его распространению, если для обнаруженного антивирусным модулем вредоносного ПО не существует возможности удаления с помощью механизма лечения.
24. Система по п.11, в которой антивирусный модуль передает данные, имеющие отношение к обнаруженному неизвестному вредоносному ПО, для которого не существует возможности удаления с помощью механизма лечения, на контроллер с целью дальнейшей передачи третьей стороне.
25. Система по п.11, которая дополнительно содержит модуль питания, предназначенный для обеспечения автономной работы заявленной системы.
26. Система по п.11, которая дополнительно содержит модуль связи, предназначенный для получения от контроллера данных, которые имеют отношение к неизвестному вредоносному ПО, для которого не существует возможности удаления с помощью механизма лечения, с целью передачи третьей стороне, получения информации от третьей стороны и передачи данной информации на контроллер.
27. Система по п.11, которая дополнительно содержит модуль управления и отображения информации, предназначенный для управления системой, а также для предоставления информации о ходе выполнения заявленной системой экспериментов и для предоставления отчета о проделанных системой экспериментах, а также для предоставления рекомендаций, которые следует использовать, чтобы вручную удалить вредоносное ПО или препятствовать его распространению.
28. Система по п.11, в которой контроллер связан с такими дополнительными средствами, как модуль связи и модуль управления и отображения информации, и предназначен для:
получения от модуля подключения информации о том, что заявленная система подключена к проверяемому ПК и последующего инициирования антивирусного модуля;
получения от антивирусного модуля экспериментов и механизмов лечения и передача их на модуль подключения;
получения от антивирусного модуля информации о ходе выполнения заявленной системой экспериментов, а также отчета о проделанных экспериментах и передачи данной информации на модуль управления и отображения информации;
получения данных, которые имеют отношение к неизвестному вредоносному ПО, для которого не существует возможности удаления с помощью механизма лечения, от антивирусного модуля и передачи этих данных на модуль связи с целью передачи этих данных третьей стороне,
получения от модуля связи информации, переданной третьей стороной с последующей передачей данной информации на антивирусный модуль с целью обновления антивирусной базы данных.
Описание изобретения к патенту
Область техники
Изобретение относится к технологиям для антивирусной проверки и лечения, а более конкретно, к системам и способам аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения.
Уровень техники
Влияние современных технологий на уклад жизни каждого человека год от года увеличивается. Стремительно развиваются компьютерные технологии и сеть Интернет, увеличивая влияние на современное мироустройство. Но подобное развитие имеет и негативные последствия, так как по мере развития компьютерных технологий растет и количество вредоносного программного обеспечения, распространяемого через сеть Интернет. Злоумышленники с помощью вредоносного программного обеспечения могут преследовать разные цели: от банального хулиганства до серьезных киберпреступлений, таких как воровство финансовых средств с банковских счетов. Всем очевидно, что с данным негативным явлением необходимо бороться. И один из инструментов борьбы - это антивирусное приложение. Но в данном подходе есть свои минусы.
Современные компьютерные приложения зачастую являются ресурсоемкими. Не стали исключением в этом и антивирусные приложения, которые оказывают большое влияние на общую производительность компьютерной системы, особенно во время выполнения многочисленных и сложных антивирусных задач. Примерами подобных задач могут служить проверка жесткого диска, которая серьезно нагружает дисковую систему, а также периодические обновления, которые могут негативно влиять на скорость работы с сетью Интернет. В связи с этим порой очень важна проверка персонального компьютера (далее ПК) на предмет заражения вредоносным программным обеспечением (далее ПО), которая затратит как можно меньше ресурсов ПК. Идеальный результат по уровню загрузки ПК может быть достигнут с помощью отдельного компактного устройства, осуществляющего антивирусную проверку.
Особенно важна подобная антивирусная проверка в корпоративных сетях, где она больше предназначена для экономии рабочего времени сотрудников, а не ресурсов ПК. Проверка ПК и ноутбуков сотрудников компании, а также сотрудников сторонних организаций может отнимать очень много времени у сотрудников департамента информационных технологий. При этом на некоторые ПК невозможно установить антивирусный продукт по разным причинам, например, отсутствуют права на установку ПО. В связи с этим нужен другой легкий подход, который позволил бы даже среднестатистическому пользователю ПК выполнять самостоятельно антивирусную проверку ПК, без установки на ПК какого-либо программного обеспечения.
Еще один минус, который можно выделить - это борьба с неизвестным вредоносным ПО. Часто чтобы обнаружить новое вредоносное ПО требуются усилия не одного специалиста в данной области. И главная проблема состоит в том, чтобы оперативно обнаружить еще неизвестное вредоносное ПО. При этом также важна автоматизация процесса обнаружения угроз, а также лечения.
Система и способ для аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере, предназначены для борьбы с данными минусами.
На сегодняшний день известны системы и способы, предназначенные для решения антивирусных задач, в том числе и аппаратные. Также существуют системы и способы, описывающие ту или иную имитацию, в том числе и для антивирусных задач.
В патенте US 7487543 B2 описывается метод и система для автоматического определения профиля поведения программы, которая похожа на вредоносную, а именно на червя. В работе системы есть этап имитации сетевого окружения для подозреваемой программы. Но данная система не реализована аппаратно.
В патенте US 7591018 B1 описывается система для аппаратного поиска и лечения вирусов. Специальное устройство, содержащее антивирусный модуль в своей памяти, может быть подсоединено к ПК. Все носители информации, подсоединенные к данной системе, также проверяются. Но данная система подразумевает наличие ПК для работы. И данная система не осуществляет антивирусное тестирование ПК благодаря имитации подключения к ПК Flash-накопителей.
В патенте US 7881919 B2 описывается способ и система для имитации подключения к ПК USB-видео устройства с целью тестирования видеодрайвера. Данная система использует имитацию подключения USB устройства, но не для целей поиска и удаления вирусов на ПК.
Ту же самую задачу преследует система и способ, позволяющие произвести имитацию USB устройства, описанные в патенте US7752029B2. При этом к ПК подсоединяется USB устройство, которое и осуществляет имитацию. Можно осуществить имитацию подключения таких устройств, как принтеры, камеры, а также других устройств, подключаемых через USB, с целью тестирования новых устройств на стадии разработки. В данном патенте описывается система, реализованная аппаратно, но она не позволяет решать антивирусные задачи.
Описываемое далее изобретение предназначено для того, чтобы обойти подобные трудности.
Сущность изобретения
Настоящее изобретение предназначено для аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере. Технический результат данного изобретения заключается в улучшении защиты от распространения неизвестного вредоносного ПО. Данный технический результат реализуется с помощью аппаратной системы, способной произвести имитацию подключения к ПК внешнего устройства или другого ПК. При этом имитируемое внешнее устройство или другой ПК заполнены информацией, целостность которой может нарушать неизвестное вредоносное ПО, установленное на ПК, и по анализу изменений в данном наборе информации после прекращения имитации можно судить о наличии на ПК неизвестного вредоносного ПО.
Способ аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК, содержащий этапы, на которых:
I - подготавливают и осуществляют серию экспериментов, при этом экспериментом является осуществление имитации подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией;
II - производят анализ изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов;
III - определяют в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, и определяют, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО, при этом:
А) если обнаружено неизвестное вредоносное ПО на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения, то формируют механизм лечения и применяют его к проверяемому ПК.
Система аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК, содержащая:
I - по меньшей мере, один модуль подключения устройства, связанный с контроллером, который предназначен для соединения проверяемого ПК с заявленной системой, информирования контроллера о факте подключения, передачи на данный проверяемый ПК экспериментов и механизмов лечения, при этом модуль подключения выполнен с возможностью получать от проверяемого ПК данные в ходе каждого эксперимента;
II - упомянутый контроллер, также связанный с антивирусным модулем и предназначенный для:
A) инициирования антивирусного модуля после получения от модуля подключения информации о том, что заявленная система подключена к проверяемому ПК;
B) передачи от антивирусного модуля на модуль подключения экспериментов и механизмов лечения, а также передачи данных в ходе каждого эксперимента от модуля подключения на антивирусный модуль;
III - упомянутый антивирусный модуль, также связанный с, по меньшей мере, одним модулем памяти, и предназначенный для:
A) подготовки экспериментов и передачи их на проверяемый ПК, при этом экспериментом, который формирует и осуществляет антивирусный модуль, является имитация подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией;
B) проведения анализа изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов;
C) определения в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, оценки возможности удаления данного неизвестного вредоносного ПО с помощью механизма лечения, и, если существует возможность удаления данного неизвестного вредоносного ПО с помощью механизма лечения, то (формирования механизма лечения и применения его к проверяемому ПК.
IV - по меньшей мере, один модуль памяти, связанный с антивирусным модулем и содержащий информацию, необходимую для подготовки экспериментов, осуществления антивирусной проверки, а также для формирования механизма лечения обнаруженного вредоносного ПО, установленного на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения.
Краткое описание прилагаемых чертежей
Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 иллюстрирует схему работы системы аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере.
Фиг.2 иллюстрирует процесс взаимодействия антивирусного модуля и модуля памяти.
Фиг.3 иллюстрирует процесс взаимодействия антивирусного модуля и баз данных, расположенных в модуле памяти.
Фиг.4 иллюстрирует алгоритм работы системы аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Фиг.1 иллюстрирует схему работы системы аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере.
Система 101 аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере (далее Система), представляет собой отдельное компактное устройство, подобное Flash-накопителю, подключаемое к ПК, например, через интерфейс USB или Ethernet, и предназначена для обнаружения и удаления вредоносного ПО, такого как, например, черви.
Система 101 содержит модуль подключения 102, которым в примерном случае может являться, например, USB-разъем, который подключается к соответствующему порту проверяемого ПК 109. Следует отметить, что данная Система 101 может быть подключена к ПК 109 с помощью других известных интерфейсов, таких как, например, eSATA и Fire Wire, а также беспроводных интерфейсов, таких как, например, Bluetooth, WiFi. Модуль подключения 102 также может быть выполнен в виде Ethernet-разъема. Следует также отметить, что в описываемой Системе 101 может быть несколько модулей подключения 102. Модуль подключения 102 соединен с контроллером 103, который предназначен для передачи данных между всеми элементами Системы 101. Контроллер 103 соединен с модулем связи 106 с целью осуществления связи с каким-либо ПК, удаленным сервером или другим подобным устройством через сеть Интернет. Модуль связи 106 может работать, используя современные стандарты беспроводной связи, такие как UMTS/CDMA (3G), WIMAX/LTE (4G), WiFi, HSPA, EDGE, a также используя проводные технологии передачи данных, такие как Ethernet, оптическое волокно, ASDN, xDSL и другие. В примерном варианте реализации в качестве модуля связи 106 выступает Ethernet-разъем, позволяющий подключить описываемую Систему 101 к какому-либо ПК, с возможностью выхода в сеть Интернет. Стоит отметить, что модуль связи 106 опционален, и связь с каким-либо ПК, удаленным сервером или другим подобным устройством через сеть Интернет может быть осуществлена с помощью модуля подключения 102. В данном случае Система 101 может быть подключена с помощью модуля подключения 102 к какому-либо ПК с возможностью выхода в сеть Интернет. Модуль питания 104, связанный с контроллером 103, предназначен для осуществления автономной работы Системы 101 в течение длительного времени без подзарядки. Модуль питания 104 может быть гальваническим элементом или аккумулятором, например, литиево-ионным. Также модуль питания 104 может быть ионистором. Ионистор - это энергонакопительный конденсатор, заряд в котором накапливается на границе раздела двух сред - электрода и электролита. Подобное устройство заряжается очень быстро и далее работает как аккумулятор. Модуль питания 104 является опциональным модулем, так как, например, при подключении Системы 101 к проверяемому ПК 109 с помощью USB-разъема необходимое для работы питание Система 101 получит от ПК 109. Контроллер 103 также связан с антивирусным модулем 107. Антивирусный модуль 107 предназначен для нескольких задач. Одной из задач является имитация подключения к ПК 109 накопителей различного типа, в том числе и Flash-накопителей. Необходимые для этого данные передаются от антивирусного модуля 107 через контроллер 103 на модуль подключения 102. Антивирусный модуль 107 может имитировать подключение накопителя любой модели и размера с какими-либо псевдослучайными данными, а также случайными серийными номерами. Также антивирусный модуль 107 предназначен для анализа полученных данных в ходе работы Системы 101, а именно в ходе имитации подключения накопителей, на предмет наличия вредоносного ПО на ПК 109. По результатам анализа антивирусный модуль 107 производит автоматическое удаление вредоносного ПО, установленного на ПК 109. Вредоносным ПО являются, по меньшей мере, черви. Антивирусным модулем 107 может являться, например, такой продукт как Kaspersky Antivirus, Antivirus for Windows Workstations, Kaspersky Antivirus for Linux Workstations, McAfee Antivirus, Norton Antivirus или другой подобный продукт. В частном варианте антивирусный модуль 107 может быть представлен в виде нескольких модулей, каждый из которых предназначен для решения определенных задач. Например, отдельный модуль предназначен для имитации устройства, другой - для анализа данных, третий - для осуществления удаления вредоносного ПО и так далее. Антивирусный модуль 107 использует ресурсы оперативной памяти, которые в частном варианте реализации может предоставлять контроллер 103. Антивирусный модуль 107 связан с модулем памяти 108. Модуль памяти 108 содержит информацию, необходимую для работы антивирусного модуля 107, такую как данные, необходимые для имитации устройства, а также для удаления вредоносного ПО. Антивирусный модуль 107 помещает в модуль памяти 108 данные анализа. Данные анализа могут быть в дальнейшем использованы для передачи на сторону компании, предоставляющей антивирусные решения, используя модуль связи 106. Модулем памяти 108 может являться, например, блок Flash-памяти NOR или NAND типа. Контроллер 103 также связан с модулем управления и отображения информации 105, предназначенным для запуска Системы 101, информирования пользователя о ходе работы Системы 101, о результате работы, о действиях, которые необходимо совершить после выполнения всех работ и так далее. Модуль управления и отображения информации 105 может быть реализован, например, как сенсорный экран, содержащий элементы управления, позволяющие, например, инициировать работу Системы 101. Также сенсорный экран позволяет пользователю получать подробную информацию обо всех вредоносных или подозрительных объектах, найденных во время работы Системы 101, а также о действиях, которые были выполнены для удаления вредоносного ПО, установленного на ПК 109. Модуль управления и отображения информации 105 может быть реализован в других вариантах. Так, например, в частном варианте модуль управления и отображения информации 105 может быть реализован в виде набора управляющих кнопок совместно с светодиодным индикатором, позволяющим, например, определить прогресс выполнения эксперимента, которым в нашем случае является осуществление имитации подключения к проверяемому ПК внешнего устройства или другого ПК. При этом может быть предусмотрена различная цветовая индикация, соответствующая, например, таким событиям, как "ПК проверен и не содержит вредоносного ПО", а также "ПК проверен и содержит вредоносное ПО". Модуль управления и отображения информации 105 для предоставления информации пользователю может также использовать звуковые сигналы, которые позволят оценить пользователю такие события, как прекращение эксперимента или же наличие на ПК 109 вредоносного ПО.
На Фиг.2 изображено взаимодействие антивирусного модуля и модуля памяти.
В Системе 101 основными элементами является антивирусный модуль 107 и модуль памяти 108. Для осуществления действий, связанных с обнаружением и удалением вредоносного ПО, антивирусный модуль 107 взаимодействует с базами данных, которые записаны в модуле памяти 108. В примерном варианте осуществления Системы 101 таких баз данных четыре. База данных идентификаторов устройств 201 содержит информацию, которая может определять имитируемое устройство. Если в качестве модуля подключения 102 используется USB-разъем, то происходит имитация Flash-накопителя. Далее будем рассматривать этот примерный случай. В данном случае информацией, которая содержится в базе данных идентификаторов устройств 201 и определяет имитируемый Flash-накопитель, является информация о названиях накопителей, файловых системах, объемах памяти, производителях, а также другие подобные данные, которые позволяют определить имитируемый Flash-накопитель. Данная информация может быть структурирована таким образом, что все указанные выше параметры будут объединены для описаний моделей известных и популярных Flash-накопителей. Так, например, информация, описывающая подключение Flash-накопителя Kingston может включать в себя такие параметры, как: название накопителя - Kingston UFD, производитель - Kingston, файловая система - FAT32, объем памяти - 4 Гб. Таким образом, каждый раз при инициировании работы Системы 101 антивирусный модуль 107 использует информацию из базы данных идентификаторов устройств 201 для имитации подключения к ПК 109 Flash-накопителя.
Другой базой данных, записанной в модуле памяти 108, является контентная база данных 202. Контентная база данных 202 содержит большой объем данных, которые предназначены для заполнения имитируемого Flash-накопителя. Такими данными могут быть различные папки с различными названиями, файлы с различными расширениями и названиями и так далее. Для задач обнаружения и удаления вредоносного ПО, в том числе и неизвестного, такая база данных необходима из-за того, что, во-первых, позволяет произвести имитацию Flash-накопителя, содержащего какую-то информацию, что делает имитацию более приближенной к реальным ситуациям, а во-вторых, позволяет обнаружить вредоносное ПО с помощью анализа действий, которые оно предпринимает над записанными на имитируемый Flash-накопитель данными. Поэтому заполнение данными для имитируемого Flash-накопителя псевдослучайное. Данные выбираются антивирусным модулем 107 из контентной базы данных 202 с учетом необходимости изучить в ходе имитации подключения к ПК 109 Flash-накопителя те или иные особенности поведения вредоносного ПО, установленного на ПК 109. Так, например, для каждого имитируемого Flash-накопителя антивирусный модуль 107 может выбирать из контентной базы данных 202, например, несколько папок и архивов с различными названиями и разным наполнением. Таким наполнением могут являться файлы с различными расширениями. Например, создав несколько папок и архивов на имитируемом Flash-накопителе можно выяснить, есть ли на проверяемом ПК 109 вредоносное ПО, которое может копировать себя в эти папки и архивы, проявляя при этом функционал вируса-компаньона, исполняемый файл которого имеет то же имя, что и какое-то приложение, но другое расширение. Часто вместо расширения .EXE вирус-компаньон располагается в файле с расширением .COM, что обеспечивает его загрузку и запуск при активизации программы по имени. Для файлов с расширением .EXE можно выяснить, есть ли на проверяемом ПК 109 вредоносное ПО, способное заражать исполняемые файлы, добавляя в них свой код. Для файлов с расширением .DOC можно выяснить, есть ли на проверяемом ПК 109 вредоносное ПО, обладающее деструктивным функционалом, способным исказить или уничтожить представленную в документе информацию, или же сделать документ недоступным для чтения. На следующем же имитируемом Flash-накопителе антивирусный модуль 107 может выбрать из контентной базы данных 202 информацию, которая поможет осуществить более детальную оценку поведения данного вредоносного ПО. Данные примеры не ограничивают возможности описываемой Системы 101. Папок и файлов с различными расширениями, по анализу действий над которыми можно определить вредоносное ПО, может быть любое количество. Следует отметить, что Система 101 не обладает какими-либо статистическими признаками, по которым можно было бы понять, что к ПК 109 подключена именно Система 101. Таким образом, в ходе работы Системы 101 нет возможности отличить, какое устройство подключено, Flash-накопитель или же заявленная Система 101, что не позволит в будущем создать вредоносное ПО, которое могло бы определить, что к ПК 109 подключена именно Система 101, и в ответ на это не воздействовать на имитируемый Flash-накопитель.
На Фиг.3 изображено взаимодействие антивирусного модуля и баз данных, расположенных в модуле памяти.
Для осуществления имитации подключения Flash-накопителя к ПК 109 с целью обнаружения и удаления вредоносного ПО антивирусный модуль 107 выбирает из базы данных идентификаторов устройств 201 информацию, определяющую какой-либо Flash-накопитель, из контентной базы данных 202 выбирает информацию, которой будет заполнен данный имитируемый Flash-накопитель. Этот набор данных позволяет произвести имитацию любого известного Flash-накопителя, при этом непустого. Далее информация из двух баз данных дважды копируется в базу данных с результатами экспериментов 203. База данных с результатами экспериментов 203 является третьей базой данных, записанной в модуле памяти 108. Каждый набор информации из контентной базы данных 202 и из базы данных идентификаторов устройств 201, выбранный антивирусным модулем 107 и позволяющий провести имитацию любого известного Flash-накопителя, является экспериментом. База данных с результатами экспериментов 203 разделена на две части. При этом в первой части базы данных с результатами экспериментов 203а будет находиться информация для имитации любого известного Flash-накопителя, передаваемая на ПК 109 с целью решения задач обнаружения и удаления вредоносного ПО, а во второй части базы данных с результатами экспериментов 203б будет находиться та же информация, но на ПК 109 она не будет передаваться, а будет использоваться лишь для сравнения с информацией из первой части базы данных с результатами экспериментов 203а после прекращения имитации подключения Flash-накопителя. Таким образом, в первой части базы данных с результатами экспериментов 203а будет находиться информация для имитации Flash-накопителей, то есть изменяемые эксперименты, так как вредоносное ПО, которое установлено на ПК 109, может вносить изменения в эту информацию в ходе имитации подключения Flash-накопителя с целью обнаружения и удаления вредоносного ПО. Во второй части базы данных с результатами экспериментов 203б будут находиться неизменяемые эксперименты, которые используются только для сравнения с изменяемыми экспериментами. Также необходимо отметить, что если, например антивирусный модуль 107 выберет из базы данных идентификаторов устройств 201 информацию, которая будет определять имитируемый Flash-накопитель, например, накопитель Kingston с объемом памяти - 4 Гб, то антивирусный модуль 107 в первой части базы данных с результатами экспериментов 203а выделит 4 Гб памяти под этот изменяемый эксперимент. Антивирусный модуль 107 может частично или полностью заполнить этот объем памяти информацией из контентной базы данных 202, сформировав, таким образом, изменяемый эксперимент. При этом вторую часть базы данных с результатами экспериментов 203б антивирусный модуль 107 может заполнять только информацией из контентной базы данных 202, так как именно она важна при сравнении экспериментов. Антивирусный модуль 107 для целей обнаружения и удаления вредоносного ПО может выбирать информацию из контентной базы данных 202 и базы данных идентификаторов устройств 201 неоднократно, формируя тем самым наборы изменяемых и неизменяемых экспериментов. При этом формирование экспериментов построено на адаптивном подходе. В случае обнаружения различий между изменяемым и неизменяемым экспериментом, то есть обнаружения подозрительной активности, следующий эксперимент может провоцировать потенциально вредоносное ПО, установленное на ПК 109, на те действия, которые Система 101 желает изучить. Так, например, обнаружив в ходе сравнения экспериментов создание на имитируемом Flash-накопителе файла autorun.inf, Система 101 может в ходе следующего эксперимента произвести имитацию Flash-накопителя, который содержит файл autorun.inf, для того, чтобы оценить, произойдет ли замена данного файла. По таким действиям можно выявить определенные поведенческие особенности неизвестного вредоноснго ПО, установленного на ПК 109. Также в рамках работы Системы 101 может автоматически меняться количество экспериментов. Так, например, если в ходе сравнения изменяемых и неизменяемых экспериментов обнаруживается то, что изменяемый эксперимент не изменяется, то количество дальнейших экспериментов, то есть имитаций подключения Flash-накопителя, можно уменьшить вплоть до одного. И наоборот, если обнаружена подозрительная активность в ходе сравнения изменяемых и неизменяемых экспериментов, то количество экспериментов может быть увеличено для более точного исследования потенциально вредоносного ПО, установленного на ПК 109. Следует отметить, что в частном варианте изобретения база данных с результатами экспериментов 203 может не использоваться. Все эксперименты, как изменяемые, так и неизменяемые, могут быть записаны непосредственно на модуль памяти 108, например, в папку, которая формируется для каждого эксперимента.
Антивирусная база данных 204 является четвертой базой данных, которая записана в модуле памяти 108. Антивирусная база данных 204 содержит сигнатуры известного вредоносного ПО, данные, необходимые для эвристического анализа, и используется антивирусным модулем 107 для обнаружения, а также удаления известного вредоносного ПО, которое может проявлять активность в ходе имитации Flash-накопителя. Антивирусный модуль 107 после прекращения нескольких экспериментов, то есть имитаций подключения Flash-накопителей, также сравнивает изменяемые и неизменяемые эксперименты из базы данных с результатами экспериментов 203 с целью анализа изменений и выявления закономерностей. В случае обнаружения неизвестного вредоносного ПО в ходе анализа экспериментов и выявления закономерностей антивирусный модуль 107 может генерировать сценарий, позволяющий, например, удалить вредоносное ПО.
На Фиг.4 изображен алгоритм работы системы аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере.
Система 101 предназначена для обнаружения и лечения вредоносного ПО, установленного на ПК 109, посредством имитации подключения к данному ПК 109 внешнего устройства, такого как Flash-накопитель. Заявленная Система 101 также может проводить имитацию другого ПК, у которого открыты общие ресурсы, то есть, например, открыт доступ ко всем данным в какой-либо папке, с целью обнаружения и удаления вредоносного ПО, установленного на ПК 109. Вредоносное ПО, установленное на ПК 109, может совершать различные действия, направленные на подключаемый к ПК 109 накопитель, например, копировать свой код на него. Система 101 позволяет определить вредоносное ПО, установленное на ПК 109, через имитацию подключения Flash-накопителя и последующий анализ данных, которые были записаны в Систему 101 в рамках имитации подключения Flash-накопителя.
Работа Системы 101 начинается на этапе 401. На данном этапе Систему 101 подключают к исследуемому ПК 109 с помощью модуля подключения 102, которым в примерном варианте реализация является USB-разъем. Таким образом, Система 101 для аппаратной антивирусной проверки подключается к USB-порту исследуемого ПК 109. После подключения Системы 101 она получает питание от ПК 109 через USB, при этом ПК 109 не видит Систему 101 как какое-либо устройство. После подключения Системы 101 к ПК 109, контроллер 103 передает на антивирусный модуль 107 сигнал для начала работы Системы 101. В частном варианте исполнения задачи инициирования работы Системы 101 выполняет модуль управления и отображения информации 105, который может содержать элементы управления, при воздействии на которые можно инициализировать Систему 101. Как было сказано ранее, Система 101 может делать несколько экспериментов с целью обнаружения и удаления вредоносного ПО, установленного на ПК 109, при этом количество экспериментов может изменяться динамически или же количество может быть задано пользователем.
На этапе 402 Система 101 проверяет, сделаны ли все эксперименты или нет. В случае если не все эксперименты выполнены, то работа системы продолжается на этапе 403. В случае если число экспериментов заранее задано, то на данном этапе Система 101, а именно антивирусный модуль 107, после каждого эксперимента проверяет количество оставшихся для выполнения экспериментов. Как было отмечено ранее, Система 101 может адаптивно рассчитывать количество экспериментов, которые еще необходимо выполнить. Поэтому на этапе 402 антивирусный модуль 107, изучив результаты эксперимента, может в динамике поменять количество будущих экспериментов.
На этапе 403 идет подготовка Системы 101 к проведению эксперимента, то есть к проведению имитации Flash-накопителя. Антивирусный модуль 107, получив сигнал для начала работы от контроллера 103, выбирает из базы данных идентификаторов устройств 201 информацию, которая может определять имитируемый Flash-накопитель. Подобной информацией является информация о названиях накопителей, файловых системах, объемах памяти, производителях, а также другие подобные данные, определяющие имитируемый Flash-накопитель. Далее, антивирусный модуль 107 выбирает данные из контентной базы данных 202, которыми будет заполнен имитируемый Flash-накопитель. Такими данными могут быть различные папки с различными названиями, файлы с различными расширениями и названиями и так далее. Заполнение данными для имитируемого Flash-накопителя псевдослучайное. Так для каждого имитируемого Flash-накопителя антивирусный модуль 107 выбирает из контентной базы данных 202, например, несколько папок и архивов с различными названиями и разным наполнением. Антивирусный модуль 107 может динамически решать, какие данные лучше использовать для того или иного эксперимента. Так, например, если в ходе первого эксперимента обнаружено, что контрольная сумма файла с расширением .exe изменилась, то велика вероятность того, что на ПК 109 есть вредоносное ПО, которое добавляет в исполняемые файлы свой код. Тогда в следующем эксперименте антивирусный модуль 107 выберет из контентной базы данных 202 несколько файлов с расширением .exe с целью проверки результатов предыдущего эксперимента. Антивирусный модуль 107 далее помещает выбранные данные из контентной базы данных 202 и информацию из базы данных идентификаторов устройств 201 в базу данных с результатами экспериментов 203, формируя эксперименты по имитации подключения Flash-накопителя. При этом база данных с результатами экспериментов 203 разделена на две части. В первой части базы данных с результатами экспериментов 203а будут находиться изменяемые эксперименты, которые используются для имитации любого известного Flash-накопителя. Именно набор данных, определяющих изменяемый эксперимент, то есть имитируемый Flash-накопитель, направляется на ПК 109 с целью обнаружения и удаления вредоносного ПО, установленного на ПК 109. Эксперименты, которые находятся в первом разделе базы данных с результатами экспериментов 203а, изменяемы, так как вредоносное ПО, которое установлено на ПК 109, может вносить изменения в эксперимент, то есть в информацию, которая записана на имитируемом Flash-накопителе. Во второй части базы данных с результатами экспериментов 203б будут находиться неизменяемые эксперименты, то есть те же самые наборы данных, которые используются только для сравнения с изменяемыми экспериментами.
Далее, на этапе 404, осуществляется эксперимент, то есть происходит имитация подключения Flash-накопителя с выбранными данными, которые его идентифицируют, и выбранными данными, которые заполняют имитируемый Flash-накопитель. Антивирусный модуль 107 из первой части базы данных с результатами экспериментов 203а выбирает изменяемый эксперимент и передает его через контроллер 103 на модуль подключения 102, а от него на ПК 109. В зависимости от объема памяти имитируемого Flash-накопителя и объема информации для его заполнения, антивирусный модуль 107 посчитает объем заполненной и свободной памяти. Эта информация через контроллер 103 будет также направлена на модуль подключения 102, а от него на ПК 109. С точки зрения ПК 109 запуск имитации Flash-накопителя Системой 101 выглядит как подключение Flash-накопителя и ничем от него не отличается. Появляются сообщения о подключении устройства с определенным именем и объемом памяти, появляются сообщения о действиях, которые можно произвести, можно увидеть записанные на имитируемом Flash-накопителе данные и так далее. Имитация длится в течение какого-то промежутка времени, длительность которого выбирается антивирусным модулем 107. Длительность может выбираться как случайно, так и с учетом происходящих во время имитации событий. Антивирусный модуль 107 может следить за состоянием изменяемого эксперимента из первой части базы данных с результатами экспериментов 203а во времени, и, видя, что происходит активное создание файлов или изменение файлов, антивирусный модуль 107 может увеличить длительность имитации, и, наоборот, если активности нет, антивирусный модуль 107 может уменьшить длительность имитации.
Далее на этапе 405 происходит завершение эксперимента, то есть прекращение имитации подключения Flash-накопителя, с выбранными данными, которые его идентифицируют, и выбранными данными, которые заполняют имитируемый Flash-накопитель. Антивирусный модуль 107 прекращает передавать любые данные на ПК 109 через контроллер 103 и модуль подключения 102. После отключение антивирусный модуль 107 проверяет данный изменяемый эксперимент, то есть данные, которые были на имитируемом Flash-накопителе. Анализ полученных данных может осуществляться в разной последовательности и в несколько этапов. Так, например, на первом этапе проверки антивирусный модуль 107 сравнивает изменяемый эксперимент из первой части базы данных с результатами экспериментов 203а с неизменяемым экспериментом из второй части базы данных с результатами экспериментов 203б.
Далее, если на этапе 406 антивирусным модулем 107 не обнаружено нарушения целостности информации на имитируемом Flash-накопителе, то есть нет различий между изменяемым экспериментом из первой части базы данных с результатами экспериментов 203а и неизменяемым экспериментом из второй части базы данных с результатами экспериментов 203б, то это может означать, что на проверяемом ПК 109 не установлено вредоносное ПО, такое как черви. Таким образом, если нарушения целостности информации на имитируемом Flash-накопителе не обнаруживается, то антивирусный модуль 107 на этом может закончить проверку данного ПК 109 путем имитации подключения к нему Flash-накопителей.
Работа Системы 101 продолжается на этапе 407, на котором генерируется и отображается отчет по результатам проведенных работ. Антивирусный модуль 107 генерирует отчет, в котором отражена информация о проведенных экспериментах. Отчет может быть представлен в виде отдельного документа, который содержит в себе основную информацию по результатам работы Системы 101. Механизм передачи, а также предоставления отчетов будет рассмотрен ниже. После генерации и отображения отчета работа Системы 101 заканчивается на этапе 408.
Для того чтобы повысить вероятность обнаружения того или иного вредоносного ПО антивирусный модуль 107 может при первом эксперименте выбирать из контентной базы данных 202 большой объем данных для формирования эксперимента. Такой подход может позволить произвести имитацию Flash-накопителя, заполненного различными данными разных форматов и расширений, чтобы не пропустить вредоносное ПО, которое может проявлять специфическую активность на какой-то файл с определенным расширением. В частном случае, если на этапе 406 не обнаружено нарушения целостности информации на имитируемом Flash-накопителе, то для подтверждения данного факта работа Системы 101 может вернуться на этап 402 для дальнейшего формирования и осуществления другого эксперимента, который позволит подтвердить результаты предыдущего эксперимента или опровергнуть их.
Если на этапе 406 в рамках эксперимента на имитируемом Flash-накопителе обнаруживаются изменения, например, добавлен или изменен какой-либо файл, то антивирусный модуль 107 может провести антивирусную проверку добавляемых или изменяемых файлов на предмет наличия признаков известного вредоносного ПО, которое может быть установлено на ПК 109. Подобное вредоносное ПО, установленное на каком-либо ПК, например, червь, часто осуществляет попытки копировать себя на Flash-накопитель или осуществить другие вредоносные действия. Далее антивирусный модуль 107 сравнивает выявленные изменения в экспериментах с информацией из антивирусной базы данных 204 для обнаружения на этапе 409 известного вредоносного ПО, записанного в изменяемый эксперимент, то есть на имитируемый Flash-накопитель. Антивирусная база данных 204 содержит актуальную информацию, позволяющую выявить и удалить известное вредоносное ПО. Так, если на этапе 409 будет обнаружено известное вредоносное ПО, которое внесло какие-либо модификации в изменяемый эксперимент, то есть записало свои данные на имитируемый Flash-накопитель, то работа Системы 101 продолжится на этапе 410. На данном этапе антивирусный модуль 107 производит оценку возможности проведения удаления данного известного вредоносного ПО, установленного на ПК 109, с помощью механизма лечения. Так, например, в ходе анализа на этапе 413 зафиксирована активность известного червя, которая тем или иным способом проявилась на имитируемом Flash-накопителе. Известно, что у этого червя статические метаданные и/или неизменная хеш-сумма, то есть червь на каждый подключаемый к ПК 109 Flash-накопитель копирует одинаковый набор данных, то для такого червя можно автоматически сделать и применить механизм лечения. Ввиду неизменности метаданных и/или хеш-суммы червя его можно искать по этой информации в ПК 109. Следовательно, можно провести процедуру поиска и удаления червя на ПК 109 по метаданным и/или хеш-сумме на всех дисках, сгенерировав необходимый для этой задачи сценарий. Таким образом, если на этапе 410 будет выявлено, что найденное известное вредоносное ПО, установленное на ПК 109, можно удалить, применив механизм лечения, то работа Системы 101 продолжится на этапе 411, на котором антивирусный модуль 107 делает и применяет механизм лечения, например, сценарий, который позволит найти данного червя на ПК 109 и удалить его. После этого работа Системы 101 продолжается на этапе 412, на котором генерируется и отображается отчет по результатам проведенных работ. Работа Системы 101 также продолжается на этапе 412 в том случае, если на этапе 410 обнаружено, что найденное известное вредоносное ПО, установленное на ПК 109, не может быть удалено с помощью механизма лечения. На данном этапе происходит генерация и отображение отчета, а также происходит формирование и отображение рекомендаций, которые помогут пользователю проверяемого ПК 109 избежать дальнейшего распространения известного вредоносного ПО, а также удалить данное вредоносное ПО вручную. Стоит отметить, что работа Системы 101 на этапе 412 может отличаться в зависимости от предыдущего этапа работы Системы 101. Так, например, если работа Системы 101 продолжилась на этапе 412 после выполнения этапа 411, то на этапе 412 может происходить генерация и отображение только отчета. Если же работа Системы 101 продолжилась на этапе 412 после выполнения этапа 410, то на этапе 412 помимо генерации и отображения отчета происходит формирование и отображение рекомендаций. После выполнения всех работ на этапе 412 работа системы возвращается на этап 402.
Если на этапе 409 известного вредоносного ПО не найдено, то работа Системы 101 вновь возвращается к этапу 402. В ходе сравнения экспериментов антивирусный модуль 107 может также обнаружить активность, первичный анализ которой позволит сказать, что не известно вредоносное ПО (то есть, нет соответствующей записи в антивирусной базе данных 204), которое может реализовать данную активность. Для дальнейшего анализа работа Системы 101 возвращается на этап 402 для формирования нового эксперимента с целью получения большего объема информации о возможно новом вредоносном ПО, для дальнейшего более глубокого анализа данной информации и выявления закономерностей, для определения вредоносности данного ПО и его удаления с ПК 109. Также, как было сказано ранее, Система 101 адаптивно рассчитывает количество экспериментов, которое необходимо провести. Так, например, если на этапе 405 в ходе первого эксперимента не будет обнаружено известное вредоносное ПО, а также не обнаружено другой активности относительно модификаций изменяемого эксперимента, то антивирусный модуль 107 может выбрать минимальное количество дальнейших экспериментов, например, один или два. Если на этапе 409 будет обнаружено неизвестное вредоносное ПО, то антивирусный модуль 107 будет динамически изменять количество экспериментов, которое еще необходимо провести исходя из того, какие особенности поведения данного неизвестного вредоносного ПО еще нужно изучить. Информация, которая имеет отношение к неизвестному вредоносному ПО, найденная после сравнения изменяемого и неизменяемого экспериментов, может быть сохранена в антивирусной базе данных 204 с целью последующего более глубокого анализа на этапе 413.
После того как на этапе 402 было выявлено, что в работе Системы 101 были сделаны все эксперименты, работа Системы 101 переходит на этап 413. На данном этапе происходит общий анализ данных, полученных после сравнения изменяемого и неизменяемого экспериментов в ходе каждой имитации Flash-накопителя, то есть эксперимента, а также выявление закономерностей. Так, например, антивирусный модуль 107 после проведения всех экспериментов может анализировать информацию, сохраненную в антивирусной базе данных 204, которая имеет отношение к неизвестному вредоносному ПО, найденному после сравнения изменяемого и неизменяемого экспериментов, с целью выявления закономерностей, а именно:
- используется ли autorun.inf или другие известные методики записи вредоносного ПО на Flash-накопитель, например, LNK эксплоит;
- имеет ли место отличие файла autorun.inf в зависимости от эксперимента, например, изменение пути к файлу;
- имеет ли место различие в файлах, записываемых на имитируемый Flash-накопитель, после проведения одинаковых экспериментов на уровне анализа хеш-сумм данных файлов;
- имеет ли место полиморфизм метаданных, то есть используется всегда статическое имя файла, добавленного на имитируемый Flash-накопитель, или оно меняется в динамике;
- есть ли типовые поведенческие особенности, например, деструктивный функционал, функционал файлового инфектора, подмена имеющихся на накопителе программ и так далее.
Таким образом, после проведения на этапе 413 общего анализа данных, полученных после N экспериментов, можно однозначно вынести определенные вердикты, а также выполнить ряд действий.
На основании анализа, проведенного на этапе 413, можно обнаружить присутствие на ПК 109 неизвестного вредоносного ПО, такого как черви. Также на основании этого анализа можно сделать однозначные выводы о возможности удаления обнаруженного неизвестного вредоносного ПО. Так, например, если в ходе нескольких экспериментов антивирусный модуль 107 выявлял на имитируемых Flash-накопителях добавление файлов, обладающих статическими метаданными и/или неизменной хеш-суммой, то есть файлов, не изменяемых от эксперимента к эксперименту, то из этого следует, что для данного вредоносного ПО можно автоматически создать и применить механизм лечения. Ввиду неизменности метаданных и/или хеш-суммы вредоносного ПО, например, червя, его можно искать по этой информации в ПК 109. Следовательно, можно провести процедуру поиска и удаления червя на ПК 109 по метаданным и/или хеш-сумме на всех дисках, сгенерировав необходимый для этой задачи сценарий.
Таким образом, если на этапе 414 было выявлено, что в ходе анализа обнаружено неизвестное вредоносное ПО, которое может быть удалено с помощью механизма лечения, то работа Системы 101 продолжается на этапе 415. На данном этапе антивирусный модуль 107 делает и применяет механизм лечения, например, сценарий, который позволит найти данного червя на ПК 109 и удалить его. После этого работа Системы 101 продолжается на этапе 416. На данном этапе генерируется и отображается отчет по результатам проведенных работ. Антивирусный модуль 107 генерирует отчет, в котором отражена информация о проведенных экспериментах, о неизвестном вредоносном ПО, которое было найдено и удалено, и так далее. Отчет может быть представлен в виде отдельного документа, который содержит в себе основную информацию по результатам работы Системы 101. Так же после каждого этапа работы системы 101 может генерироваться свой отчет. После генерации и отображения отчета работа Системы 101 заканчивается на этапе 417.
Если же на этапе 414 было обнаружено, что нет возможности удаления обнаруженного неизвестного вредоносного ПО с помощью механизма лечения, например, червя, то есть нет каких-либо признаков, которые позволили бы сделать механизм лечения, то работа Системы 101 продолжается на этапе 418. На данном этапе помимо генерации и отображения отчета происходит также формирование и отображение рекомендаций. Рекомендации могут предоставляться как в рамках отчета, так и отдельно от него. Антивирусный модуль 107, получив данные о найденном неизвестном вредоносном ПО после серии проведенных экспериментов, генерирует рекомендацию в зависимости от видов активностей, реализуемых данным неизвестным вредоносным ПО. Так, например, видя, что на имитируемом Flash-накопителе в рамках нескольких экспериментов неизвестное вредоносное ПО добавляло свой код в файлы с расширением .EXE, то рекомендация может говорить о том, что не следует подключать к ПК накопители, содержащие файлы с данным расширением. Также рекомендация может отражать механизм удаления вредоносного ПО на ПК 109 вручную, в том числе какие файлы необходимо удалять, каким образом и так далее.
Для более детального изучения, приготовления механизма лечения и для дальнейшего обновления антивирусной базы данных 204 антивирусный модуль 107 через контроллер 103 может передавать данные, идентифицирующие найденное неизвестное вредоносное ПО, которое нельзя удалить с помощью механизма лечения, на модуль связи 106. В дальнейшем эти данные передаются на сторону компании, предоставляющей антивирусные решения. Подобные действия происходят на этапе 419. В зависимости от реализации модуля связи 106 процесс передачи данных может быть выполнен различными способами. Модуль связи 106 может использовать как проводную связь, так и беспроводную. В случае проводной связи модулем связи 106 может являться, например, USB-разъем или порт-Ethernet. Следует отметить, что в частном варианте данной реализации функции модуля связи 106 может выполнять модуль подключения 102. В примерном случае Система 101 может быть подключена с помощью модуля связи 106 к какому-либо ПК с возможностью выхода в сеть Интернет. Контроллер 103 получает от модуля связи 106 информацию об установленном соединении с ПК, и контроллер 103 сообщает об этом антивирусному модулю 107. Антивирусный модуль 107 сообщает контроллеру 103 адрес Интернет-ресурса компании, предоставляющей антивирусные решения, после чего контроллер 103 передает данную информацию на модуль связи 106. В частном случае в контроллер 103 может быть записана информация, такая как адреса Интернет-ресурсов, и после получения от модуля связи 106 информации об установленном соединении с ПК контроллер 103 сообщает ему необходимые адреса. Модуль связи 106 устанавливает соединение с данными Интернет-ресурсами. Далее антивирусный модуль 107 передает данные, идентифицирующие найденное неизвестное вредоносное ПО без возможности удаления с помощью механизма лечения на контроллер 103, который в свою очередь передает данную информацию на модуль связи 106. Модуль связи 106 передает данную информацию на Интернет-ресурсы компании, предоставляющей антивирусные решения. В случае если модуль связи 106 реализован с помощью беспроводной технологии, например, 3G и есть возможность осуществления Интернет-соединения без помощи стороннего ПК, то тогда действия, описанные выше, то есть передача данных, идентифицирующих найденное неизвестное вредоносное ПО без возможности удаления с помощью механизма лечения, могут быть осуществлены модулем связи 106 непосредственно после прекращения эксперимента.
Помимо данных, идентифицирующих найденное неизвестное вредоносное ПО без возможности удаления с помощью механизма лечения, антивирусный модуль 107 может также передавать такие сведения, как: в рамках какого эксперимента обнаружено вредоносное ПО, где было найдено данное вредоносное ПО на имитируемом Flash-накопителе и так далее. Передача подобной информации на этапе 419 поможет в дальнейшем сформировать механизмы лечения неизвестного вредоносного ПО. Передача информации о тех данных, идентифицирующих найденное неизвестное вредоносное ПО без возможности удаления с помощью механизма лечения, позволит на стороне компании, предоставляющей антивирусные решения, в дальнейшем разработать механизмы лечения. Также на этом этапе в ответ на передачу данных, идентифицирующих найденное неизвестное вредоносное ПО без возможности удаления с помощью механизма лечения, модуль связи 106 от компании, предоставляющей антивирусные решения, может получить, например, обновления для антивирусной базы данных 204. Также модуль связи 106 может получить характерное решение какой-либо проблемы. Это может быть, например, сценарий или инструкция для автоматического лечения нужного файла или удаления вредоносного ПО. Далее обновление для антивирусной базы данных 204 будет направлено модулем связи 106 через контроллер 103 на антивирусный модуль 107, который обновит текущую антивирусную базу данных 204. После окончания процедуры передачи данных, идентифицирующих найденное неизвестное вредоносное ПО без возможности удаления с помощью механизма лечения, антивирусный модуль 107 может очистить базу данных с результатами экспериментов 203. Далее работа Системы 101 заканчивается на этапе 420.
Как было отмечено ранее, Система 101 содержит модуль управления и отображения информации 105, предназначенный для запуска Системы 101, информирования пользователя о ходе работы Системы 101, о результате работ, о действиях, которые необходимо совершить после выполнения всех работ и так далее. Рассмотрим подробнее механизм предоставления пользователю информации о работе Системы 101 и отчетов о результатах работ и о действиях, которые необходимо совершить после выполнения всех работ.
Следует отметить, что информирование пользователя о работе Системы 101 и ее результатах выполняется как в реальном времени, так и после завершения всех работ. В ходе антивирусной проверки добавляемых или изменяемых файлов в рамках каждого эксперимента на предмет наличия известного вредоносного ПО антивирусный модуль 107 сообщает контроллеру 103 о каждом проверенном файле и времени до конца проверки. Контроллер 103 передает данную информацию на модуль управления и отображения информации 105. Таким образом, пользователь получает обратную связь во время процесса антивирусной проверки и может видеть в зависимости от исполнения модуля управления и отображения информации 105 такую информацию, как динамически меняющиеся сведения о последнем проверенном файле и времени до конца антивирусной проверки в рамках каждого проведенного эксперимента. В ином варианте исполнения модуля управления и отображения информации 105 пользователь может видеть, например, динамику прогресса антивирусной проверки, которая выполняется на этапе 405. В зависимости от реализации модуля управления и отображения информации 105, пользователь может получить также звуковую информацию, которую он сможет ассоциировать с таким событием, как окончание эксперимента, отсутствие вредоносного ПО, удаление вредоносного ПО и так далее.
После окончания всех экспериментов и общего анализа данных, полученных в ходе N экспериментов, антивирусный модуль 107 может сгенерировать и передать отчет на контроллер 103 обо всех проведенных экспериментах, обо всех проверенных файлах в рамках одного или всех экспериментов, о найденном и удаленном известном вредоносном ПО, о найденном вредоносном ПО, для которого был сгенерирован и применен механизм лечения, о найденном неизвестном вредоносном ПО, для которого невозможно сгенерировать и применить механизм лечения, а также о рекомендациях, которые следует использовать, чтобы вручную удалить неизвестное вредоносное ПО или препятствовать его распространению.
Контроллер 103 передаст подобную информацию на модуль управления и отображения информации 105. В других вариантах реализации антивирусный модуль 107 может генерировать отчет в любом текстовом формате, сохранять его, например, в базе данных с результатами экспериментов 203 с целью передачи данного отчета через контроллер 103 на ПК администратора при подключении Системы 101 к данному ПК. В отчете может быть сохранена информация, описывающая проверенные файлы в рамках каждого эксперимента, найденное известное вредоносное ПО, которое было удалено, найденное вредоносное ПО, для которого был сгенерирован и применен механизм лечения, найденное неизвестное вредоносное ПО, для которого невозможно сгенерировать и применить механизм лечения, а также рекомендации, которые следует использовать, чтобы вручную удалить неизвестное вредоносное ПО или препятствовать его распространению. Следует отметить, что в зависимости от этапа работы Системы 101 отличается наполнение отчета. Так на этапе 407 отчет может содержать информацию о проверенных файлах в рамках каждого эксперимента. На этапе 412 отчет может содержать информацию о найденном известном вредоносном ПО, которое было удалено с помощью механизма лечения. К указанной выше информации прибавится информация о найденном известном вредоносном ПО, для которого невозможно сгенерировать и применить механизм лечения, а также о рекомендациях, которые следует использовать, чтобы вручную удалить известное вредоносное ПО или препятствовать его распространению. На этапе 416 отчет может содержать информацию о найденном неизвестном вредоносном ПО, для которого был сгенерирован и применен механизм лечения. На этапе 418 к указанной выше информации прибавится информация о найденном неизвестном вредоносном ПО, для которого невозможно сгенерировать и применить механизм лечения, а также о рекомендациях, которые следует использовать, чтобы вручную удалить неизвестное вредоносное ПО или препятствовать его распространению.
Также на ПК может быть установлено вредоносное ПО, которое распространяется по сети, такое как сетевые черви. При присоединении нового ПК к сети сетевые черви могут распространиться с зараженного ПК на новый ПК. В работе данной Системы 101 предусмотрен режим работы для поиска и удаления на ПК вредоносного ПО, распространяемого по сети. В данном варианте исполнения модулем подключения 102 является Ethernet-разъем, подключаемый к сетевой карте исследуемого ПК 109. В данном случае происходит имитация сетевого подключения к исследуемому ПК 109 другого ПК с открытыми общими ресурсами. Такой подход позволяет обнаружить на ПК 109 вредоносное ПО, распространяемое по сети, например, сетевые черви, благодаря имитации сетевого подключения к исследуемому ПК 109 другого ПК и последующему анализу данных, которые были записаны в Систему 101 в рамках имитации сетевого подключения. Специалисту в данной области становится понятным, что алгоритм работы в данном случае не отличается от рассмотренного выше примера.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Класс G06F11/277 со сравниванием фактического результата испытаний с известным заведомо истинным результатом