[go: up one dir, main page]

RU2487405C1 - Система и способ для исправления антивирусных записей - Google Patents

Система и способ для исправления антивирусных записей Download PDF

Info

Publication number
RU2487405C1
RU2487405C1 RU2011147542/08A RU2011147542A RU2487405C1 RU 2487405 C1 RU2487405 C1 RU 2487405C1 RU 2011147542/08 A RU2011147542/08 A RU 2011147542/08A RU 2011147542 A RU2011147542 A RU 2011147542A RU 2487405 C1 RU2487405 C1 RU 2487405C1
Authority
RU
Russia
Prior art keywords
virus
record
detected
data
database
Prior art date
Application number
RU2011147542/08A
Other languages
English (en)
Other versions
RU2011147542A (ru
Inventor
Александр Александрович Романенко
Антон Сергеевич Лапушкин
Олег Алексеевич Ишанов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2011147542/08A priority Critical patent/RU2487405C1/ru
Priority to US13/428,177 priority patent/US8732836B2/en
Priority to EP14176048.8A priority patent/EP2790122B1/en
Priority to EP20120164873 priority patent/EP2597586A1/en
Priority to CN201210484935.2A priority patent/CN103020522B/zh
Publication of RU2011147542A publication Critical patent/RU2011147542A/ru
Application granted granted Critical
Publication of RU2487405C1 publication Critical patent/RU2487405C1/ru
Priority to US14/230,262 priority patent/US8966634B2/en
Priority to US14/598,425 priority patent/US9350756B2/en
Priority to US15/098,896 priority patent/US9614867B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)
  • Stored Programmes (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

Изобретение относится к антивирусным технологиям, в частности к системам и способам для исправления антивирусных записей. Технический результат, заключающийся в минимизации ложных срабатываний при использовании исправлений статусов для выявленных записей, определяющих в качестве вредоносного такой объект, который является доверенным и чистым. Способ для исправления антивирусных записей содержит этапы, на которых проверяют наличие данных об исправлении статуса для выявленной антивирусной записи при проверке объекта на ПК. Далее осуществляют передачу данных об исправлении статуса на ПК в случае, если существуют данные об исправлении статуса для выявленной антивирусной записи, а также осуществляют действия, предусмотренные данными об исправлении статуса для выявленной антивирусной записи. А также передают на удаленный сервер данные об объекте и о выявленной антивирусной записи при проверке данного объекта в случае, если не существует данных об исправлении статуса для выявленной антивирусной записи, которой соответствует проверяемый объект, с целью определения коллизий и исправления статуса выявленной антивирусной записи. 2 н. и 15 з.п. ф-лы, 5 ил.

Description

Область техники
Изобретение относится к антивирусным технологиям, в частности к системам и способам для исправления антивирусных записей.
Уровень техники
В настоящее время одной из самых актуальных задач антивирусной индустрии является проблема поддержания антивирусных баз в актуальном состоянии. Ведь даже за то небольшое время, когда вредоносная программа пока еще не обнаружена ведущими антивирусными экспертами и компаниями, она может быть скачана сотни тысяч раз различными пользователям и сможет заразить большое количество компьютеров. Своевременное обновление антивирусных баз позволяет адекватно и быстро осуществлять борьбу с вредоносным ПО.
Но стоит отметить, что количество программного обеспечения, в том числе и вредоносного, постоянно растет, в связи с чем необходимы проактивные методы обнаружения подобных приложений. Для борьбы с неизвестными вредоносными программами современные антивирусные компании используют методы эвристического обнаружения, методы исполнения неизвестных программ в защищенной среде (sandbox, honeypot) с использованием виртуализации, а также различные способы ограничения функционала программ на основе анализа их активности (HIPS). Тем не менее нельзя полностью полагаться на все вышеперечисленные методики, так как все они обладают определенными недостатками, связанными как с особенностью их работы, так и с их использованием в современных антивирусных приложениях, в которых пользователь вправе выставить настройки, которые не дадут использовать эти технологии в полной мере, так как они могут отнимать заметное количество времени и ресурсов, например при старте неизвестных программ. До окончания проверки неизвестных программ пользователь может отключить, например, их исполнение в защищенной среде вроде песочницы или же уменьшить время, которое отводится на эмуляцию.
В связи с возможными рисками неэффективной работы проактивных технологий и ввиду постоянного роста количества вредоносных программ все более популярными становятся так называемые "белые списки" (whitelist) - базы чистых, то есть проверенных и надежных объектов. Список чистых объектов создается для таких объектов, как файлы, приложения, ссылки, сообщения электронной почты, а также для учетных записей пользователей систем мгновенного обмена сообщениями, журналов обмена сообщениями, IP-адресов, имен хостов, имен доменов и так далее. Подобные списки можно составлять исходя из многих факторов: наличия электронной цифровой подписи или иных данных производителя, данных об источнике (откуда приложение было получено), данных о связях приложения (отношения родитель-ребенок), данных о версии приложения (например, приложение можно считать проверенным исходя из того, что прошлая версия также была в списке проверенных программ), данных о переменных окружения (операционная система, параметры запуска) и т.д. Перед каждым выпуском обновлений сигнатур для антивирусных баз они должны быть проверены на предмет коллизий, например, с "белым списком" файлов. Стоит отметить, что большинство исследуемых неизвестных исполняемых файлов на данный момент являются так называемыми РЕ-файлами (Portable Executable) и имеют РЕ-формат (для семейства операционных систем Windows, под которые пишется большая часть вредоносного программного обеспечения). РЕ-файл может быть представлен в виде заголовка, некоторого количества секций, которые составляют образ исполняемой программы, и оверлея, являющегося сегментом программы, подгружаемым при необходимости во время ее выполнения. В настоящий момент для того, чтобы создать сигнатуру файла, стараются использовать различные уникальные части файла. Чаще всего для этих целей используют код из секции кода. Однако нередки ситуации, когда эксперт ошибочно интерпретирует библиотечный или иной широко используемый код как часть вредоносного, так как данный фрагмент присутствует в вредоносном приложении. В этом случае создается сигнатура, которая ошибочно накладывается на этот широко используемый фрагмент. Данная сигнатура будет успешно детектировать вредоносное приложение, однако все другие файлы, которые будут содержать данный фрагмент кода, но при этом являются чистыми, эта сигнатура также будет определять как вредоносные. В результате такой ошибки получается ложное срабатывание.
Работа антивирусных приложений, так или иначе, связана с какими-либо антивирусными записями, например правилами, шаблонами, списками, сигнатурами, в создании которых, как правило, принимает участие эксперт. Данные антивирусные записи позволяют обнаружить вредоносное ПО и удалить его. Но в данном процессе также не исключен человеческий фактор, и эксперт может допустить ошибку, сделав, например, сигнатуру, которая будет определять чистое ПО, информация о котором находится в "белом списке" файлов, как вредоносное. Следует также отметить, что не только эксперт может сделать ошибку. Существуют системы автоматического формирования антивирусных записей, которые, пытаясь обнаружить как можно больше вредоносного ПО, неизбежно охватывают и некоторые чистые приложения. При этом могут возникнуть ситуации, когда необходимое для работы пользователя специальное ПО, не являющееся вредоносным, блокируется антивирусным приложением, и подобные ситуации могут существенно снижать лояльность пользователей к определенному антивирусному приложению в будущем. По мере обнаружения ложных срабатываний необходимо формировать исправления антивирусных баз, а также списков доверенных программ, что в реальности происходит не быстро.
Предложенное изобретение позволяет сразу после обнаружения факта наличия ложного срабатывания, то есть, например, неправильной антивирусной записи, сделать исправление антивирусной записи, а также осуществить передачу информацию об исправлении антивирусной записи, например статуса антивирусной записи на те ПК, на которых неправильная антивирусная запись сработала.
Таким образом, задача минимизации количества ложных срабатываний является очень важной для антивирусной индустрии. На сегодняшний день известны различные подходы, позволяющие минимизировать количество ложных срабатываний и оповещений.
В заявке WO 2007087141 A1 описывается метод для уменьшения количества ложных срабатываний. Суть его сводится к последовательной проверке сначала по списку вредоносных объектов, а затем по списку чистых объектов. Но описанный метод не подразумевает исправления неправильных антивирусных записей в случае, если обнаружено ложное срабатывание.
В патенте US 7231637 B1 описывается способ и система для обновления и тестирования обновлений. Есть тестовые записи, они распространяются на ПК вместе с рабочими. Отчет о работе этих правил от ПК отправляется на сервер, где тестовые записи могут быть переведены в статус рабочих. Но данная система не описывает процесс исправления статусов антивирусных записей, в том числе и тестовых, в случае обнаружения ложного срабатывания и передачи измененной антивирусной записи на ПК.
Система для выявления и исправления ложных срабатываний описана в патенте US 7640589. Для выявления и исправления ложных срабатываний статистическая информация об обнаруженном объекте отправляется на сервер обнаружения и исправления ложных срабатываний. Это множество записей поступает на средство обнаружения, где с помощью различных алгоритмов происходит сравнение поступившей информации об обнаруженных объектах со списком чистых объектов и списком вредоносных объектов с целью выявления коллизий. Коллизией является факт присутствия объекта, который был обнаружен как вредоносный, в списке чистых объектов, или же наоборот, объекта, являющегося чистым, в списке вредоносных. Если обнаружена коллизия, то выявленный таким образом объект (или метаданные объекта) и соответствующая антивирусная запись, по которой данный объект был классифицирован как вредоносный, передаются средству исправления. Средство исправления оценивает вероятность попадания в список чистых объектов вредоносного объекта (и наоборот), используя критерии, которым ставятся в соответствие весовые коэффициенты для построения дерева решений. После этого делается вывод о том, что надо исправлять - список чистых объектов или список вредоносных объектов. Исправленные антивирусные записи или записи о чистых файлах автоматически попадают соответственно в список вредоносных объектов или списки чистых объектов.
Таким образом, анализируя обнаруженные объекты, можно выявить ложные срабатывания и, в зависимости от ситуации, осуществить пополнение или изменение списка вредоносных объектов (антивирусной базы) или списка чистых объектов. Обновленный список вредоносных объектов из антивирусной базы данных поступает на ПК с установленным антивирусным приложением для обновления антивирусной базы данных. Но, как правило, между обновлениями проходят часы, и зачастую задолго до выпуска обновления на стороне антивирусной компании есть список антивирусных записей, которые были исправлены. Реализуется ситуация, когда обнаружена неправильная запись, отвечающая за ложное срабатывание, и она будет исправлена при следующем обновлении продукта. Но до обновления на ПК множества пользователей может быть проверен такой же объект, при проверке которого сработает та самая неправильная запись, отвечающая за ложное срабатывание, и произойдет ложное оповещение. Предлагаемая же далее система позволяет до основного обновления антивирусной базы иметь возможность осуществить промежуточное исправление антивирусной записи, например ее статуса, которое позволит минимизировать количество ложных срабатываний и оповещений. Тем не менее следует отметить, что описываемая далее система может работать совместно с системой, описанной в патенте US 7640589, а также иметь связи между отдельными элементами. При этом решение задачи минимизации ложных срабатываний будет происходить наиболее эффективно.
Предложенные и описанные далее система и способ для исправления антивирусных записей обходит описанные выше недостатки. Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно минимизацию ложных срабатываний за счет исправления статусов антивирусных записей.
Сущность изобретения
Настоящее изобретение предназначено для исправления антивирусных записей. Технический результат заключается в минимизации ложных срабатываний при использовании исправлений статусов для выявленных записей, определяющих в качестве вредоносного такой объект, который является доверенным и чистым.
Способ для исправления антивирусных записей, содержащий этапы, на которых:
I. осуществляют антивирусную проверку объекта на ПК, при этом если выявлена антивирусная запись, которой соответствует проверяемый объект, то проверяют наличие данных об исправлении для выявленной антивирусной записи;
II. в случае если существуют данные об исправлении для выявленной антивирусной записи, которой соответствует проверяемый объект, то передают данные об исправлении на ПК, а также осуществляют действия, предусмотренные данными об исправлении для выявленной антивирусной записи;
III. в случае если не существует данных об исправлении для выявленной антивирусной записи, которой соответствует проверяемый объект, то передают на удаленный сервер данные об объекте и о выявленной антивирусной записи при проверке данного объекта с целью определения коллизий и исправления выявленной антивирусной записи.
Система для исправления антивирусных записей, содержащая:
I. антивирусное приложение, установленное на ПК и состоящее из:
А. по меньшей мере, одного модуля защиты, связанного с антивирусной базой и предназначенного для:
- антивирусной проверки объекта;
- проверки наличия исправления для выявленной антивирусной записи, которой соответствует проверяемый объект в базе данных исправленных записей;
- получения данных об исправлении выявленной антивирусной записи в случае наличия исправления для выявленной антивирусной записи в базе данных исправленных записей, а также осуществления действий, предусматриваемых данными об исправлении для выявленной антивирусной записи;
- передачи на средство обработки информации данных об объекте и выявленной антивирусной записи при проверке данного объекта.
В. упомянутой антивирусной базы, которая содержит антивирусные записи, позволяющие обнаружить вредоносный объект;
II. Сервер анализа и исправлений, связанный с ПК с установленным антивирусным приложением и состоящий из:
А. средства обработки информации, связанного с базой данных чистых объектов и средством исправления записей и предназначенного для;
- получения от модуля защиты данных об объекте и выявленной антивирусной записи при проверке данного объекта;
- сравнения данных об объекте, при проверке которого выявлена антивирусная запись, с данными из базы данных чистых объектов с целью определения коллизии;
- передачи данных о выявленной антивирусной записи при проверке объекта, в отношении которого была определена коллизия, на средство исправления записей.
В. упомянутой базы данных чистых объектов, содержащей данные о доверенных и чистых объектах;
С. упомянутого средства исправления записей, связанного с базой данных исправленных записей и предназначенного для исправления выявленной антивирусной записи при проверке объекта, в отношении которого была определена коллизия, и передачи данных об исправлении в базу данных исправленных записей, при этом упомянутое средство имеет в своем составе базу правил, содержащую правила, по результатам срабатывания которых происходит исправление выявленной антивирусной записи;
D. упомянутой базы данных исправленных записей, содержащей данные об исправлениях антивирусных записей.
Краткое описание чертежей
Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 иллюстрирует известный вариант схемы работы системы для обновления антивирусных баз.
Фиг.2 иллюстрирует механизм антивирусной проверки.
Фиг.3 иллюстрирует систему защиты от вредоносного ПО в соответствии с вариантом реализации.
Фиг.4 иллюстрирует схему системы для исправления антивирусных записей.
Фиг.5 иллюстрирует алгоритм работы системы для исправления антивирусных записей.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
На Фиг.1 изображен известный вариант схемы работы системы для обновления антивирусных баз.
Как правило, антивирусные обновления направляются от сервера с обновлениями 110 через сеть Интернет 140 на ПК 120 с установленным антивирусным приложением. На сервере с обновлениями 110 находится постоянно пополняемая антивирусная база данных 130, и антивирусная компания располагает средствами пополнения указанной антивирусной базы данных 130. Так, антивирусная компания постоянно выпускает новые сигнатуры, эвристики, средства родительского контроля и другие объекты, которые она может выпускать в двух статусах - как уже проверенные и рабочие антивирусные записи, так и тестовые антивирусные записи, которые можно проверить на компьютерах пользователей в тестовом режиме. Антивирусная база данных 130 содержит как проверенные рабочие записи, так и тестовые. Рабочие антивирусные записи - сигнатуры, эвристики и другие отличаются от тестовых записей тем, что в случае срабатывания рабочей записи произойдет оповещение пользователя об этом событии. Если же запись была тестовой, то в этом случае пользователь не будет оповещен. Таким образом, здесь и далее под рабочей записью подразумевается антивирусная запись со статусом "рабочая", а под тестовой записью подразумевается антивирусная запись со статусом "тестовая". Следует отметить, что работа системы не ограничивается использованием антивирусных записей с указанными статусами, таких статусов может быть большее количество. Во время антивирусного обновления новые антивирусные записи из антивирусной базы данных 130 передаются через сеть Интернет 140 на ПК 120. На ПК 120 установлено антивирусное приложение, имеющее в своем составе средство обновления 150, на которое передаются записи из антивирусной базы данных 130. Антивирусное приложение имеет собственную антивирусную базу 160, в которой находятся как рабочие записи, так и тестовые. Антивирусную базу 160 может использовать один из модулей защиты антивирусного приложения - это может быть модуль сигнатурной проверки, эмулятор, средство эвристической проверки и другие. Новые записи из антивирусной базы данных 130, имеющие отношение как к рабочим записям, так и к тестовым записям, передаются средством обновления 150 в антивирусную базу 160.
Каждая запись, находящаяся в антивирусной базе 160, обладает уникальным идентификатором (ID). Каждая антивирусная запись позволяет обнаружить один или несколько вредоносных объектов 200, обладающих своей хеш-суммой. Следует отметить, что часто хеш-суммы вычисляются с помощью алгоритма MD5, но они также могут вычисляться с помощью любых других хеш-функций, например MD4, SHA1, SHA2, SHA256 и так далее. Отношением между уникальным идентификатором антивирусной записи и хеш-суммой объектов является "многие ко многим". Например, одна запись с уникальным идентификатором может соответствовать нескольким хеш-суммам. В тоже время одна хеш-сумма может соответствовать нескольким записям - это может произойти, например, если вначале на конкретную хеш-сумму была наложена отдельная запись с уникальным идентификатором, а потом была создана новая запись, которая позволяет обнаруживать целое семейство подобных вредоносных программ.
Следует отметить, что процесс такого антивирусного обновления может происходить с интервалом в часы. Если после антивирусного обновления в антивирусную базу 160 попадет, например, сигнатура, при использовании которой объект, известный как чистый, определяется как вредоносный, то подобное событие является ложным срабатыванием и ведет к ложному оповещению. В течение нескольких часов до следующего антивирусного обновления, когда такая ошибка может быть исправлена, на огромном количестве ПК 120 может произойти ложное срабатывание и огромное количество пользователей будут оповещены об обнаружении чистого объекта в качестве вредоносного. Поэтому необходим механизм, позволяющий до основного обновления антивирусных баз провести оперативное исправление антивирусных записей с целью минимизации ложных срабатываний, а также ложных оповещений.
На Фиг.2 изображен механизм антивирусной проверки на клиентской стороне.
Антивирусное приложение, установленное на каком-либо ПК 120, для осуществления антивирусных задач нуждается в антивирусных базах 160. В антивирусной базе 160 находятся рабочие антивирусные записи 210, при срабатывании которых пользователь может быть проинформирован о данном событии, и тестовые 220. Каждая антивирусная запись имеет свой уникальный идентификатор. При антивирусной проверке того или иного объекта 200 антивирусное приложение может использовать какую-либо запись с уникальным идентификатором из антивирусной базы данных 160. Каждая запись из антивирусной базы данных 160 отвечает за вердикт 230 по результатам проверки. В антивирусной базе 160 находятся записи, которые позволяют антивирусному приложению обнаружить вредоносный объект 200, и в дальнейшем осуществить ряд действий, предназначенных для нейтрализации данного объекта 200. Таким образом, при проверке объекта 200 антивирусным приложением с использованием записи из антивирусной базы 160 с уникальным идентификатором вердикт 230 для данного проверяемого объекта 200 на основании сработавшей для него записи отнесет проверяемый объект к вредоносным объектам 230а. Под сработавшей антивирусной записью здесь и далее подразумевается выявленная антивирусная запись, которой соответствует проверяемый объект 200. Но есть вероятность того, что данная запись и вердикт по ней не верны, так как, например, в ходе обновления антивирусных баз 160 на клиентской стороне может оказаться антивирусная запись, которая отнесет проверяемый объект к вредоносным, хотя данный объект не является таковым. Поэтому необходимо иметь инструмент проверки актуальности сработавшей записи, например ее статуса, а также оперативного исправления неактуальных антивирусных записей.
На Фиг.3 изображена система защиты от вредоносного ПО в соответствии с вариантом реализации.
Системой защиты от вредоносного ПО является антивирусное приложение 310, которое содержит ряд модулей защиты 320, позволяющих обнаружить и, например, удалить вредоносное ПО. Для работы модулей защиты 320 антивирусное приложение 310 в своем составе имеет собственную антивирусную базу 160, которая содержит как рабочие записи 210, так и тестовые записи 220. Каждая антивирусная запись имеет свой уникальный идентификатор. При антивирусной проверке того или иного объекта 200 какой-либо модуль защиты из ряда модулей защиты 320 может использовать записи из антивирусной базы данных 160. Такими записями являются, например, сигнатуры, эвристики, средства родительского контроля и так далее. Следует отметить, что не все модули защиты из ряда модулей защиты 320 используют одни и те же записи. В зависимости от типа объекта 200 используется соответствующий модуль защиты, который использует антивирусные записи при проверке данного объекта 200. Несколько модулей защиты могут также осуществлять проверку объекта 200 совместно. Какой-либо модуль защиты из ряда модулей защиты 320 для антивирусной проверки того или иного объекта 200 может использовать как рабочую запись 210, в случае срабатывания которой произойдет оповещение пользователя об этом событии, так и тестовую запись 220, в случае срабатывания которой оповещение пользователя не происходит. Также антивирусное приложение 310 может иметь в своем составе кэш 330, необходимый для хранения исправлений антивирусных записей. Исправления, например исправленные записи или статусы записей, которые находятся в кэше 330, обладают более высоким приоритетом по сравнению с записями с тем же идентификатором из антивирусной базы 160. Если при антивирусной проверке того или иного объекта 200 каким-либо модулем защиты из ряда модулей защиты 320 будет существовать возможность использования для данного объекта 200 записи из антивирусной базы 160 и записи с тем же идентификатором из кэша 330, то этот модуль защиты выберет запись из кэша 330.
В случае срабатывания антивирусной записи, как рабочей, так и тестовой, информация о сработавшей записи отправляется на сервер анализа и исправлений 340, на котором может быть проверена актуальность сработавшей записи. На сервер анализа и исправлений 340 может также отправляться информация об обнаруженном записью объекте 200. Эта информация необходима для выявления тех записей в антивирусной базе 160, функционирование которых приводит к возникновению ложных срабатываний и оповещений. Информация об обнаруженных записями объектах 200 может быть представлена в виде метаданных этих объектов 200. Сервер анализа и исправлений 340 находится на стороне компании-поставщика антивирусных услуг и принимает статистическую информацию о сработавших антивирусных записях и об обнаруженных этими записями объектах 200 от множества ПК 120, на которых установлено антивирусное приложение 310. Связь между антивирусным приложением 310 и сервером анализа и исправлений 340 осуществляется через сеть Интернет 140. Если при работе какого-либо модуля защиты из ряда модулей защиты 320 сработала антивирусная запись из антивирусной базы 160, то данный модуль направляет запрос на сервер анализа и исправлений 340 с целью проверки актуальности сработавшей записи. Подобный запрос осуществляется до выполнения каких-либо действий в соответствии со сработавшей записью. Так, например, запрос будет отправлен до вывода оповещения об обнаружении сработавшей записью со статусом "рабочая" вредоносного объекта. Если ответ на запрос будет подтверждать актуальность сработавшей записи, то произойдет оповещение, а также дальнейшие действия, направленные на нейтрализацию обнаруженного записью вредоносного объекта 200. Обнаружение и исправление выпущенных антивирусных записей, результат работы которых приводит к ложным срабатываниям и оповещениям пользователя, производится в процессе обработки статистической информации об обнаруженных этими записями объектах 200.
На Фиг.4 изображена схема системы для исправления антивирусных записей.
Как было отмечено ранее, антивирусное приложение 310, установленное на ПК 120, во время своей работы осуществляет взаимодействие с сервером анализа и исправлений 340. Так, например, в случае срабатывания уникальной антивирусной записи как рабочей, так и тестовой, информация о сработавшей записи отправляется на сервер анализа и исправлений 340, на котором осуществляется проверка актуальности сработавшей записи. В одном из вариантов реализации сервер анализа и исправлений 340 содержит базу данных исправленных записей 440, в которой хранятся исправления тех записей, признанных в процессе эксплуатации, например, отвечающими за ложные срабатывания. В данной базе 440 хранится, например, информация касательно исправления статусов для антивирусных записей. Далее в описании примеров реализации будет описываться именно этот случай. Но следует понимать, что описываемая система не ограничивается примерными вариантами реализации, и база данных исправленных записей 440 может содержать также полностью измененные антивирусные записи.
В общем случае при антивирусной проверке того или иного объекта 200 какой-либо модуль защиты из ряда модулей защиты 320 может использовать записи из антивирусной базы данных 160. Далее, если какой-либо модуль защиты из ряда модулей защиты 320 выявил вредоносность объекта 200 с помощью той или иной антивирусной записи, то перед тем, как осуществить какие-либо действия в соответствии со сработавшей записью, например оповещение пользователя о данном событии, данный модуль защиты отправляет запрос на сторону сервера анализа и исправлений 340, а именно в базу данных исправленных записей 440. В запросе указывается, например, идентификатор сработавшей антивирусной записи из антивирусной базы данных 160. Если запись с данным идентификатором до очередного обновления антивирусной базы 160 была исправлена, например изменен ее статус, и данное исправление, которым в этом случае является информация о новом статусе, находится в базе данных исправлений 440, то в ответ на запрос на сторону антивирусного приложения 310, например какому-либо модулю защиты из ряда модулей защиты 320, будет передана информация об исправлении статуса сработавшей антивирусной записи. Дальнейшая работа антивирусного приложения 310, а именно какого-либо модуля защиты из ряда модулей защиты 320, с объектом 200 будет осуществляться в соответствии с измененным статусом для сработавшей антивирусной записи. В частном случае информация об исправлениях для записей может передаваться от какого-либо модуля защиты из ряда модулей защиты 320 в кэш 330, который необходим для хранения исправлений антивирусных записей. Исправления, которые находятся в кэше 330, всегда используются при антивирусной проверке того или иного объекта 200. Так, например, при срабатывании той или иной записи из антивирусной базы 160 будет проверяться наличие исправления для данной записи в кэше 330. Если в кэше 330 есть исправление, например изменение статуса сработавшей антивирусной записи, то работа антивирусного приложения, а именно какого-либо модуля защиты из ряда модулей защиты 320, будет осуществляться в соответствии с измененным статусом для сработавшей антивирусной записи. В частном случае, если в результате запроса к базе данных исправленных записей 440 какой-либо модуль защиты из ряда модулей защиты 320 получил полностью измененную антивирусную запись и сохранил ее в кэше 330, то при дальнейшей работе именно эта запись будет обладать более высоким приоритетом по сравнению с записями из антивирусной базы 160. То есть если при антивирусной проверке того или иного объекта 200 каким-либо модулем защиты из ряда модулей защиты 320 будет существовать возможность использования для данного объекта 200 записи из антивирусной базы 160 и из кэша 330, то этот модуль защиты выберет запись из кэша 330. Следует отметить, что кэш 330 очищается после очередного обновления антивирусной базы 160, так как при очередном обновлении в антивирусную базу 160 будут переданы обновленные антивирусные записи, которые учитывают произошедшие исправления.
Статусами антивирусных записей в примерной реализации могут быть такие статусы, как "рабочая", "тестовая" и "неактивная". При срабатывании "рабочей" записи пользователь получает оповещение о данном событии, при срабатывании "тестовой" записи оповещения не происходит. При срабатывании как рабочей, так и тестовой записи на сторону сервера анализа и исправлений 340 направляется информация о сработавшей записи, например ее идентификатор, а также статистическая информация об объекте 200, при проверке которого сработала данная антивирусная запись. При срабатывании "неактивной" записи никаких из вышеописанных действий не производится. Необходимость статуса "неактивная" следует из нескольких соображений. В первую очередь перевод какой-либо записи в статус "неактивная" позволит избежать ложных срабатываний и оповещений пользователя. Также, когда какая-либо запись из антивирусной базы 160 начнет определять в качестве вредоносного объект 200, который является чистым и установленным на множестве ПК 120 во всем мире, например Microsoft Word, огромный объем статистических данных о данном объекте 200 будет направлен на сервер анализа и исправлений 340. Такой поток статистических данных в состоянии затруднить работу сервера 340. Исправление статуса данной записи на статус "неактивная" на стороне сервера анализа и исправления 340 позволит блокировать дальнейшую передачу статистических данных.
В случае когда в базе данных исправленных записей 440, а также в кэше 330 нет никакой информации об исправлениях сработавшей записи, то в зависимости от статуса записи пользователю может быть передано оповещение об обнаружении вредоносного объекта 200. Также информация о сработавшей антивирусной записи, например ее идентификатор вместе со статистической информацией об объекте 200, при проверке которого сработала данная запись, отправляется на сторону сервера анализа и исправлений 340, а именно на средство обработки информации 410. Следует отметить, что набор статистических данных об объекте 200 всегда отправляется вместе с информацией о сработавшей записи при антивирусной проверке данного объекта 200 каким-либо модулем защиты из ряда модулей защиты 320. Набор статистических данных может включать различные параметры, например имя объекта 200, хеш-сумма данного объекта 200, версия, расширение и так далее. На стороне сервера анализа и исправлений 340 также находится база данных чистых объектов 430. База данных чистых объектов 430 создается для файлов, ссылок, сообщений электронной почты, а также учетных записей пользователей систем мгновенного обмена сообщениями, журналов обмена сообщениями, IP адресов, имен хостов, имен доменов, идентификаторов рекламных компаний и так далее. Далее будет рассмотрен примерный вариант, в котором база данных чистых объектов 430 содержит хеш-суммы объектов, признанных доверенными и не представляющими угрозы для ПК 120 и для данных, которые на данном ПК 120 хранятся. Следует понимать, что система не ограничена лишь данным примерным вариантом реализации, и данных, которые могут храниться в базе данных чистых объектов 430, может быть большое количество.
Получив информацию о сработавшей антивирусной записи, например ее идентификатор, а также статистическую информацию об объекте 200, при антивирусной проверке которого сработала данная запись, средство обработки информации 410 осуществляет сравнение полученной информации с информацией, сохраненной в базе данных чистых объектов 430. Так, в примерном варианте реализации может быть сравнена хеш-сумма проверенного каким-либо модулем защиты из ряда модулей защиты 320 объекта 200, для которого сработала антивирусная запись и который был признан вредоносным, и хеш-суммы чистых объектов, которые сохранены в базе данных чистых объектов 430. Если возникнет такая ситуация, когда хеш-сумма объекта 200, проверенного каким-либо модулем защиты из ряда модулей защиты 320 с использованием антивирусной записи и признанного вредоносным, совпадает с хеш-суммой чистого объекта из базы данных чистых объектов 430, то средство обработки информации 410 отправляет информацию о записи, которая определила в качестве вредоносного объект из базы данных чистых объектов 430, например ее идентификатор, на средство исправления записей 420.
Средство исправления записей 420 предназначено для обработки информации об антивирусных записях, которые работают некорректно и определяют в качестве вредоносного объект из базы данных чистых объектов 430, а также для исправления данных записей, например их статусов. Средство исправления записей 420 в своем составе содержит базу данных правил 420а, при срабатывании которых средством анализа и исправления 420 будет исправлена некорректная антивирусная запись. Так, например, в базе данных правил 420а может находиться правило, которое предписывает исправление статуса записи с "рабочая" на "неактивная", если на пятидесяти ПК 120 данной антивирусной записью в качестве вредоносного был принят объект 200, хеш-сумма которого находится в базе данных чистых объектов 430. Также, например, учитывая то, что одной антивирусной записью могут быть признаны вредоносными несколько объектов 200, правило, которое предписывает исправление статуса записи с "рабочая" на "неактивная", может срабатывать при определенном пороге значения отношения определения антивирусной записью в качестве вредоносного такого объекта, который таковым не является, к определению той же записью действительно вредоносного объекта. Если данное отношение превысит заранее заданный порог, например, 0,01%, то статус данной антивирусной записи будет изменен средством исправления записей 420 с "рабочая" на "неактивная". Таким же образом может быть изменена запись, обладающая статусом "тестовая". Если значение отношения определения данной записью действительно вредоносного объекта к определению той же записью в качестве вредоносного такого объекта, который таковым не является, будет соответствовать 99,9%, то статус данной антивирусной записи будет изменен средством исправления записей 420 с "тестовая" на "рабочая". Если же значение данного отношения опустится до значения, например, 90% и ниже, то статус данной антивирусной записи будет изменен средством исправления записей 420 с "тестовая" на "неактивная". Далее новый статус для антивирусной записи вместе с идентификатором данной записи пересылается в базу данных исправленных записей 440. В частном варианте реализации как только сработает правило для исправления статуса записи, и статус записи будет изменен, средство исправления записей 420 может осуществить передачу информации об исправленном статусе какой-либо антивирусной записи в кэш 330 антивирусных приложений 310, установленных на множестве ПК 120, с помощью, например, технологии PUSH-обновлений. Технологии PUSH-обновлений - технология принудительного обновления. То есть, например, вместо того, чтобы антивирусное приложение 310 проверяло сервер с обновлениями 110 на наличие обновлений каждые несколько минут, сервер 110 сам передает обновления антивирусному приложению 310, как только они появились.
Таким образом, в короткий временной промежуток осуществляется обнаружение ложного срабатывания какой-либо антивирусной записи из антивирусной базы 160, исправление ее статуса и передача обновленного статуса в зависимости от варианта реализации либо в базу данных исправленных записей 440, либо с помощью технологии PUSH-обновлений в кэш 330 антивирусных приложений 310, установленных на множестве ПК 120.
В частном варианте реализации в работу средства исправления записей 420 могут вмешиваться аналитики для анализа поступающих данных о сработавших антивирусных записях. Аналитики отвечают за пополнение базы данных правил 420а новыми правилами, на основании которых будет изменяться антивирусная запись. Аналитики могут также пополнять базу данных исправленных записей 440 информацией о новых статусах тех или иных записей, а также полностью измененными антивирусными записями.
На Фиг.5 изображен алгоритм работы системы для исправления антивирусных записей.
Работа системы начинается на этапе 501, на котором при антивирусной проверке объекта 200 каким-либо модулем защиты из ряда модулей защиты 320 антивирусного приложения 310 сработала уникальная антивирусная запись из антивирусной базы 160. Сработавшая запись обладает уникальным идентификатором, а также статусом, таким как "рабочая", "тестовая" и "неактивная".
Далее на этапе 502, перед тем как осуществить какие-либо действия над объектом 200, который был определен антивирусной записью как вредоносный, например, оповестить пользователя о том, что такой объект обнаружен на ПК 120, модуль защиты из ряда модулей защиты 320, обнаруживший объект, осуществляет запрос на сторону сервера анализа и исправлений 340, а именно в базу данных исправленных записей 440, с целью выяснения актуальности сработавшей записи. В запросе указывается, например, идентификатор сработавшей антивирусной записи. Далее на этапе 503, если запись с данным идентификатором до очередного обновления была исправлена, например изменен ее статус, и данное исправление, которым в этом случае является информация о новом статусе, находится в базе данных исправлений 440, то на этапе 504 в ответ на запрос на сторону антивирусного приложения 310, например, какому-либо модулю защиты из ряда модулей защиты 320 будет передана информация об исправлении статуса сработавшей записи. Дальнейшая работа антивирусного приложения 310, а именно какого-либо модуля защиты из ряда модулей защиты 320, с объектом 200 будет осуществляться в соответствии с измененным статусом для сработавшей антивирусной записи. В зависимости от нового статуса записи пользователю может быть передано оповещение об обнаружении вредоносного объекта 200, если, например, статус антивирусной записи изменился с "тестовая" на "рабочая". Или же наоборот, оповещения может не быть в случае, если статус записи изменился, например, на "неактивная" запись. Работа системы заканчивается на этапе 505. В частном варианте реализации работа системы может не заканчиваться на этапе 505, работа системы может быть продолжена после этапа 504 на этапе 506. Как было сказано ранее, одна антивирусная запись может обнаруживать в качестве вредоносных несколько объектов 200. При работе системы может возникнуть ситуация, когда появился новый объект 200, например установочный файл нового приложения, который относится к безопасным объектам, и антивирусная запись, статус которой был ранее исправлен с "тестовая" на "рабочая", стала определять данный объект в качестве вредоносного. Продолжение работы системы после этапа 504 на этапе 506 поможет избежать таких ситуаций, то есть риска повторного возникновения ложных срабатываний после исправления антивирусной записи, например ее статуса.
Также в частном варианте реализации на этапе 504 информация об исправлении для записи передается от какого-либо модуля защиты из ряда модулей защиты 320 в кэш 330, который необходим для хранения данных исправлений антивирусных записей. Исправления, которые находятся в кэше 330, всегда используются при антивирусной проверке того или иного объекта 200. Так, например, при срабатывании той или иной записи из антивирусной базы 160 будет проверяться наличие исправления для данной записи в кэше 330. Если в кэше 330 есть исправление, например изменение статуса антивирусной записи, то работа антивирусного приложения 310, а именно какого-либо модуля защиты из ряда модулей защиты 320, будет осуществляться в соответствии с исправленным статусом для сработавшей записи. Также следует отметить, что в частном варианте реализации, когда исправления записей передаются от средства исправления записей 420 напрямую в кэш 330, на этапе 502 какой-либо модуль защиты из ряда модулей защиты 320 осуществляет запрос не на сторону сервера анализа и исправлений 340, а в кэш 330 антивирусного приложения 310.
Если же на этапе 503 запись с данным идентификатором до основного обновления не была изменена, и в базе данных исправлений 440 нет информации об исправлении данной записи, то работа системы продолжается на этапе 506. На данном этапе каким-либо модулем защиты из ряда модулей защиты 320 осуществляется передача информации о сработавшей записи, например ее идентификатор вместе со статистической информацией об объекте 200, при проверке которого сработала данная антивирусная запись, на сторону сервера анализа и исправлений 340, а именно на средство обработки информации 410. Набор статистических данных может включать различные параметры, например имя объекта 200, хеш-сумма, версия, расширение и так далее. На стороне сервера анализа и исправлений 340 также находится база данных чистых объектов 430. Получив информацию о сработавшей записи, например ее идентификатор, а также статистическую информацию об объекте 200, при антивирусной проверке которого сработала данная запись, средство обработки информации 410 на этапе 507 осуществляет сравнение полученной информации с информацией, сохраненной в базе данных чистых объектов 430. Так в примерном варианте реализации может быть сравнена информация о хеш-сумме проверенного объекта 200, для которого сработала антивирусная запись и который был признан вредоносным, и информация о хеш-суммах чистых объектов, которая сохранена в базе данных чистых объектов 430. В частном варианте реализации может быть сравнена другая информация о проверенном объекте 200, например, имя с соответствующей информацией из базы данных чистых объектов 430. Также может быть осуществлено сравнение информации о множестве параметров проверенного объекта 200 с соответствующей информацией из базы данных чистых объектов 430.
Далее, если на этапе 508 после сравнения информации о хеш-сумме проверенного объекта 200, для которого сработала антивирусная запись и который был признан вредоносным, и информации о хеш-суммах чистых объектов, которая сохранена в базе данных чистых объектов 430, будет выявлено, что объект действительно вредоносный, так как в базе данных чистых объектов 430 отсутствует хеш-сумма данного объекта, то работа системы закончится на этапе 509. Если же на этапе 508 возникнет такая ситуация, когда хеш-сумма объекта 200, проверенного каким-либо модулем защиты из ряда модулей защиты 320 с использованием антивирусной записи и признанного вредоносным, совпадает с хеш-суммой чистого объекта из базы данных чистых объектов 430, то на этапе 510 средство обработки информации 410 отправляет информацию о записи, которая определила в качестве вредоносного объект из базы данных чистых объектов 430, на средство исправления записей 420. Подобной информацией может быть, например, идентификатор данной антивирусной записи. Средство исправления записей 420 в своем составе содержит базу данных правил 420а, при срабатывании которых средством исправления записей 420 будет исправлена та или иная антивирусная запись, например ее статус. Так, если на этапе 511 после получения информации об антивирусной записи, которая определила вредоносным объект 200, информация о котором находится в базе данных чистых объектов, не сработало правило для исправления данной записи, то работа системы продолжится на этапе 501. Подобное может произойти в случае, если, например, средство исправления записей 420 получило информацию о данной записи недостаточное количество раз, и для срабатывания правила для исправления данной записи этого количества случаев некорректного срабатывания записи недостаточно. Следует понимать, что в данном случае имеется в виду начало работы системы на этапе 501 для другого ПК 120, на котором сработала та же антивирусная запись при проверке того же объекта 200.
Если же на этапе 511 после получения информации об антивирусной записи, которая определила вредоносным объект, хеш-сумма которого находится в базе данных чистых объектов 430, сработало правило для исправления данной записи, то работа системы продолжится на этапе 512. На данном этапе средство исправления записей 420 произведет исправление антивирусной записи, например статуса данной записи. Статус антивирусной записи может быть изменен средством исправления записей 420, например, с "рабочая" на "неактивная". Далее, новый статус для антивирусной записи вместе с идентификатором данной записи пересылается в базу данных исправленных записей 440. В частном варианте реализации на данном этапе как только сработает правило для исправления статуса записи, и статус записи будет изменен, средство исправления записей 420 может осуществить передачу информации об исправленном статусе какой-либо антивирусной записи в кэш 330 антивирусных приложений 310, установленных на множестве ПК 120, с помощью, например, технологии PUSH-обновлений. Таким образом, исправление записи, например ее статуса, будет передано либо в базу данных исправленных записей 440, либо в кэш 330 антивирусного приложения 310. После этого при срабатывании той же записи из антивирусной базы 160 при работе какого-либо модуля защиты из ряда модулей защиты 320 на другом ПК 120 и передачи запроса либо в базу данных исправленных записей 440, либо в кэш 330, будет получена информация об исправлении антивирусной записи, например новый статус, с учетом которого будет далее осуществлять работу какой-либо модуль защиты из ряда модулей защиты 320. Работа системы заканчивается на этапе 513.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (17)

1. Способ для исправления антивирусных записей, содержащий этапы, на которых:
I. осуществляют антивирусную проверку объекта на ПК, при этом если выявлена антивирусная запись, которой соответствует проверяемый объект, то проверяют наличие данных об исправлении для выявленной антивирусной записи;
II. в случае если существуют данные об исправлении для выявленной антивирусной записи, которой соответствует проверяемый объект, то передают данные об исправлении на ПК, а также осуществляют действия, предусмотренные данными об исправлении для выявленной антивирусной записи;
III. в случае если не существует данных об исправлении для выявленной антивирусной записи, которой соответствует проверяемый объект, то передают на удаленный сервер данные об объекте и о выявленной антивирусной записи при проверке данного объекта с целью определения коллизий и исправления выявленной антивирусной записи.
2. Способ по п.1, в котором антивирусные записи обладают статусами и разделены по статусу на, по меньшей мере, рабочие, тестовые и неактивные.
3. Способ по п.1, в котором проверяют наличие данных об исправлении для выявленной антивирусной записи в базе данных на стороне удаленного сервера.
4. Способ по п.1, в котором проверяют наличие данных об исправлении для выявленной антивирусной записи в базе данных на стороне ПК.
5. Способ по п.1, в котором действиями, предусмотренными данными об исправлении для антивирусной записи, являются, по меньшей мере, такие действия, как:
- передача оповещения о выявленной антивирусной записи и обнаружении данной записью вредоносного объекта;
- блокирование передачи оповещения о выявленной антивирусной записи и обнаружении данной записью вредоносного объекта;
- передача на удаленный сервер данных об объекте и о выявленной антивирусной записи при проверке данного объекта;
- блокирование передачи на удаленный сервер данных об объекте и о выявленной антивирусной записи при проверке данного объекта.
6. Способ по п.1, в котором данными об объекте, при проверке которого выявлена антивирусная запись, являются метаданные этого объекта.
7. Способ по п.1, в котором коллизией является определение с помощью антивирусной записи в качестве вредоносного такого объекта, который является доверенным и чистым.
8. Способ по п.1, в котором, если исправление для выявленной антивирусной записи, которой соответствует проверяемый объект, не существует, то осуществляют этапы, на которых:
- передают данные об объекте и о выявленной антивирусной записи при проверке данного объекта на удаленный сервер;
- на стороне удаленного сервера сравнивают данные об объекте, при проверке которого выявлена антивирусная запись, с данными, имеющим отношение к доверенным и чистым объектам, для определения коллизий;
- исправляют выявленную антивирусную запись на стороне удаленного сервера в случае определения коллизии, а также при срабатывании правила для исправления антивирусной записи;
- передают данные об исправлении в базу данных на удаленном сервере;
- передают данные об исправлении в базу данных на стороне ПК.
9. Способ по п.1, в котором исправлением антивирусной записи является, по меньшей мере, исправление статуса данной антивирусной записи.
10. Система для исправления антивирусных записей, содержащая:
I. антивирусное приложение, установленное на ПК и состоящее из:
А. по меньшей мере, одного модуля защиты, связанного с антивирусной базой и предназначенного для:
- антивирусной проверки объекта;
- проверки наличия исправления для выявленной антивирусной записи, которой соответствует проверяемый объект в базе данных исправленных записей;
- получения данных об исправлении выявленной антивирусной записи в случае наличия исправления для выявленной антивирусной записи в базе данных исправленных записей, а также осуществления действий, предусматриваемых данными об исправлении для выявленной антивирусной записи;
- передачи на средство обработки информации данных об объекте и выявленной антивирусной записи при проверке данного объекта;
В. упомянутой антивирусной базы, которая содержит антивирусные записи, позволяющие обнаружить вредоносный объект;
II. сервер анализа и исправлений, связанный с ПК с установленным антивирусным приложением и состоящий из:
А. средства обработки информации, связанного с базой данных чистых объектов и средством исправления записей и предназначенного для:
- получения от модуля защиты данных об объекте и выявленной антивирусной записи при проверке данного объекта;
- сравнения данных об объекте, при проверке которого выявлена антивирусная запись, с данными из базы данных чистых объектов с целью определения коллизии;
- передачи данных о выявленной антивирусной записи при проверке объекта, в отношении которого была определена коллизия, на средство исправления записей;
B. упомянутой базы данных чистых объектов, содержащей данные о доверенных и чистых объектах;
C. упомянутого средства исправления записей, связанного с базой данных исправленных записей и предназначенного для исправления выявленной антивирусной записи при проверке объекта, в отношении которого была определена коллизия, и передачи данных об исправлении в базу данных исправленных записей, при этом упомянутое средство имеет в своем составе базу правил, содержащую правила, по результатам срабатывания которых происходит исправление выявленной антивирусной записи;
D. упомянутой базы данных исправленных записей, содержащей данные об исправлениях антивирусных записей.
11. Система по п.10, в которой антивирусное приложение, установленное на ПК, дополнительно в своем составе содержит кэш, в котором хранятся данные об исправлениях записей, переданные средством анализа и исправления.
12. Система по п.11, в которой, по меньшей мере, один модуль защиты связан с кэшем и осуществляет проверку наличия данных об исправлении в кэше для выявленной антивирусной записи при проверке объекта.
13. Система по п.10, в которой антивирусные записи, хранящиеся в антивирусной базе данных, обладают статусам и разделены по статусу на, по меньшей мере, рабочие, тестовые и неактивные.
14. Система по п.10, в которой данными об объекте, при проверке которого выявлена антивирусная запись, передаваемыми, по меньшей мере, одним модулем защиты на средство обработки информации, являются метаданные этого объекта.
15. Система по п.10, в которой осуществляемыми, по меньшей мере, одним модулем защиты действиями, предусмотренными данными об исправлении для антивирусной записи, являются, по меньшей мере, такие действия, как:
- передача оповещения о выявленной антивирусной записи и обнаружении данной записью вредоносного объекта;
- блокирование передачи оповещения о выявленной антивирусной записи и обнаружении данной записью вредоносного объекта;
- передача на удаленный сервер данных об объекте и о выявленной антивирусной записи при проверке данного объекта;
- блокирование передачи на удаленный сервер данных об объекте и о выявленной антивирусной записи при проверке данного объекта.
16. Система по п.10, в которой коллизией является определение, по меньшей мере, одним модулем защиты с помощью антивирусной записи из антивирусной базы в качестве вредоносного такого объекта, который является доверенным и чистым, и данные о котором находятся в базе данных чистых объектов.
17. Система по п.10, в которой исправлением антивирусной записи, осуществляемым средством исправления записей при срабатывании правила из базы правил, является, по меньшей мере, исправление статуса данной антивирусной записи.
RU2011147542/08A 2011-11-24 2011-11-24 Система и способ для исправления антивирусных записей RU2487405C1 (ru)

Priority Applications (8)

Application Number Priority Date Filing Date Title
RU2011147542/08A RU2487405C1 (ru) 2011-11-24 2011-11-24 Система и способ для исправления антивирусных записей
US13/428,177 US8732836B2 (en) 2011-11-24 2012-03-23 System and method for correcting antivirus records to minimize false malware detections
EP14176048.8A EP2790122B1 (en) 2011-11-24 2012-04-20 System and method for correcting antivirus records to minimize false malware detections
EP20120164873 EP2597586A1 (en) 2011-11-24 2012-04-20 System and method for correcting antivirus records to minimize false malware detection
CN201210484935.2A CN103020522B (zh) 2011-11-24 2012-11-23 用于校正反病毒记录以最小化恶意软件误检的系统和方法
US14/230,262 US8966634B2 (en) 2011-11-24 2014-03-31 System and method for correcting antivirus records and using corrected antivirus records for malware detection
US14/598,425 US9350756B2 (en) 2011-11-24 2015-01-16 System and method for correcting antivirus records using antivirus server
US15/098,896 US9614867B2 (en) 2011-11-24 2016-04-14 System and method for detection of malware on a user device using corrected antivirus records

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2011147542/08A RU2487405C1 (ru) 2011-11-24 2011-11-24 Система и способ для исправления антивирусных записей

Publications (2)

Publication Number Publication Date
RU2011147542A RU2011147542A (ru) 2013-05-27
RU2487405C1 true RU2487405C1 (ru) 2013-07-10

Family

ID=46000950

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011147542/08A RU2487405C1 (ru) 2011-11-24 2011-11-24 Система и способ для исправления антивирусных записей

Country Status (4)

Country Link
US (4) US8732836B2 (ru)
EP (2) EP2597586A1 (ru)
CN (1) CN103020522B (ru)
RU (1) RU2487405C1 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2602369C2 (ru) * 2015-03-31 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения количества определений легитимного файла вредоносным
RU2617654C2 (ru) * 2015-09-30 2017-04-25 Акционерное общество "Лаборатория Касперского" Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
RU2625053C1 (ru) * 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Устранение ложных срабатываний антивирусных записей
RU2776926C1 (ru) * 2021-03-15 2022-07-28 Акционерное общество "Лаборатория Касперского" Способ изменения правила обнаружения вредоносного кода

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
CN103632088A (zh) 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9336025B2 (en) 2013-07-12 2016-05-10 The Boeing Company Systems and methods of analyzing a software component
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9852290B1 (en) * 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US9280369B1 (en) 2013-07-12 2016-03-08 The Boeing Company Systems and methods of analyzing a software component
US9479521B2 (en) 2013-09-30 2016-10-25 The Boeing Company Software network behavior analysis and identification system
US9667657B2 (en) 2015-08-04 2017-05-30 AO Kaspersky Lab System and method of utilizing a dedicated computer security service
GB2561177B (en) * 2017-04-03 2021-06-30 Cyan Forensics Ltd Method for identification of digital content
US10460108B1 (en) 2017-08-16 2019-10-29 Trend Micro Incorporated Method and system to identify and rectify input dependency based evasion in dynamic analysis
US10846403B2 (en) * 2018-05-15 2020-11-24 International Business Machines Corporation Detecting malicious executable files by performing static analysis on executable files' overlay
EP4060534B1 (en) * 2021-03-15 2025-08-27 AO Kaspersky Lab Systems and methods for modifying a malicious code detection rule
CN113934625B (zh) * 2021-09-18 2024-09-13 深圳市富匙科技有限公司 软件检测方法、设备及存储介质
CN113779584A (zh) * 2021-11-15 2021-12-10 北京信达环宇安全网络技术有限公司 防护软件安装方法及系统
US12335294B2 (en) * 2023-03-08 2025-06-17 Bank Of America Corporation System for containerization-based countermeasures to cybersecurity vulnerabilities

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007087141A1 (en) * 2006-01-25 2007-08-02 Computer Associates Think, Inc. System and method for reducing antivirus false positives
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US20090328221A1 (en) * 2008-06-30 2009-12-31 Microsoft Corporation Malware detention for suspected malware
RU92551U1 (ru) * 2009-11-23 2010-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система тестирования и исправления тестовых баз данных антивирусного приложения
RU101224U1 (ru) * 2010-07-23 2011-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система выявления и минимизации риска ложных срабатываний
US20110083180A1 (en) * 2009-10-01 2011-04-07 Kaspersky Lab, Zao Method and system for detection of previously unknown malware

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6035423A (en) * 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US7363657B2 (en) * 2001-03-12 2008-04-22 Emc Corporation Using a virus checker in one file server to check for viruses in another file server
US7080000B1 (en) * 2001-03-30 2006-07-18 Mcafee, Inc. Method and system for bi-directional updating of antivirus database
US6993660B1 (en) * 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
US7188369B2 (en) * 2002-10-03 2007-03-06 Trend Micro, Inc. System and method having an antivirus virtual scanning processor with plug-in functionalities
GB2400934B (en) * 2003-04-25 2005-12-14 Messagelabs Ltd A method of,and system for detecting mass mailing viruses
US7509676B2 (en) * 2004-07-30 2009-03-24 Electronic Data Systems Corporation System and method for restricting access to an enterprise network
US7765410B2 (en) * 2004-11-08 2010-07-27 Microsoft Corporation System and method of aggregating the knowledge base of antivirus software applications
US7844700B2 (en) * 2005-03-31 2010-11-30 Microsoft Corporation Latency free scanning of malware at a network transit point
US7650639B2 (en) * 2005-03-31 2010-01-19 Microsoft Corporation System and method for protecting a limited resource computer from malware
US8561190B2 (en) * 2005-05-16 2013-10-15 Microsoft Corporation System and method of opportunistically protecting a computer from malware
GB2427048A (en) * 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US20070277167A1 (en) 2006-05-23 2007-11-29 International Business Machines Corporation System and method for computer system maintenance
US8584240B1 (en) * 2007-10-03 2013-11-12 Trend Micro Incorporated Community scan for web threat protection
US8087086B1 (en) * 2008-06-30 2011-12-27 Symantec Corporation Method for mitigating false positive generation in antivirus software
CN101408846B (zh) * 2008-11-24 2011-04-13 华为终端有限公司 一种杀毒软件升级的方法及相应的终端和系统
GB2470928A (en) * 2009-06-10 2010-12-15 F Secure Oyj False alarm identification for malware using clean scanning
GB2471716A (en) * 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
US7743419B1 (en) * 2009-10-01 2010-06-22 Kaspersky Lab, Zao Method and system for detection and prediction of computer virus-related epidemics
US8356354B2 (en) * 2009-11-23 2013-01-15 Kaspersky Lab, Zao Silent-mode signature testing in anti-malware processing
US8719935B2 (en) * 2010-01-08 2014-05-06 Microsoft Corporation Mitigating false positives in malware detection
US8910288B2 (en) * 2010-02-05 2014-12-09 Leidos, Inc Network managed antivirus appliance
US8683216B2 (en) * 2010-07-13 2014-03-25 F-Secure Corporation Identifying polymorphic malware
US20120066759A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. System and method for providing endpoint management for security threats in a network environment
US8424093B2 (en) * 2010-11-01 2013-04-16 Kaspersky Lab Zao System and method for updating antivirus cache
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
US8832836B2 (en) * 2010-12-30 2014-09-09 Verisign, Inc. Systems and methods for malware detection and scanning
WO2013005079A1 (en) * 2011-07-06 2013-01-10 F-Secure Corporation Security method and apparatus
US8839423B2 (en) * 2011-09-20 2014-09-16 Netqin Mobile, Inc. Method and system for sharing mobile security information
US8214905B1 (en) * 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for dynamically allocating computing resources for processing security information

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007087141A1 (en) * 2006-01-25 2007-08-02 Computer Associates Think, Inc. System and method for reducing antivirus false positives
US20090328221A1 (en) * 2008-06-30 2009-12-31 Microsoft Corporation Malware detention for suspected malware
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US20110083180A1 (en) * 2009-10-01 2011-04-07 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
RU92551U1 (ru) * 2009-11-23 2010-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система тестирования и исправления тестовых баз данных антивирусного приложения
RU101224U1 (ru) * 2010-07-23 2011-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система выявления и минимизации риска ложных срабатываний

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2602369C2 (ru) * 2015-03-31 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения количества определений легитимного файла вредоносным
RU2617654C2 (ru) * 2015-09-30 2017-04-25 Акционерное общество "Лаборатория Касперского" Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
RU2625053C1 (ru) * 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Устранение ложных срабатываний антивирусных записей
RU2776926C1 (ru) * 2021-03-15 2022-07-28 Акционерное общество "Лаборатория Касперского" Способ изменения правила обнаружения вредоносного кода

Also Published As

Publication number Publication date
US9614867B2 (en) 2017-04-04
EP2597586A1 (en) 2013-05-29
CN103020522B (zh) 2016-01-20
US20140215627A1 (en) 2014-07-31
EP2790122A3 (en) 2014-11-05
CN103020522A (zh) 2013-04-03
US9350756B2 (en) 2016-05-24
EP2790122B1 (en) 2017-03-29
RU2011147542A (ru) 2013-05-27
EP2790122A2 (en) 2014-10-15
US20150128278A1 (en) 2015-05-07
US20160255101A1 (en) 2016-09-01
US8966634B2 (en) 2015-02-24
US8732836B2 (en) 2014-05-20
US20130139265A1 (en) 2013-05-30

Similar Documents

Publication Publication Date Title
RU2487405C1 (ru) Система и способ для исправления антивирусных записей
US8356354B2 (en) Silent-mode signature testing in anti-malware processing
US7231637B1 (en) Security and software testing of pre-release anti-virus updates on client and transmitting the results to the server
US7640589B1 (en) Detection and minimization of false positives in anti-malware processing
EP2469445B1 (en) Optimization of anti-malware processing by automated correction of detection rules
US9965630B2 (en) Method and apparatus for anti-virus scanning of file system
US8375451B1 (en) Security for scanning objects
CN104811453B (zh) 主动防御方法及装置
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US20130067577A1 (en) Malware scanning
CN101213555A (zh) 用于处理恶意软件的方法和装置
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
US8443445B1 (en) Risk-aware scanning of objects
EP2417552B1 (en) Malware determination
CN102857519B (zh) 主动防御系统
CN105844161B (zh) 安全防御方法、装置与系统
CN105791250A (zh) 应用程序检测方法及装置
CN112527624A (zh) 检测系统、检测方法及使用检测方法执行的更新验证方法
RU101224U1 (ru) Система выявления и минимизации риска ложных срабатываний
LU93398B1 (en) Method for orchestrating reactions to complex attacks on cumputing systems
RU108870U1 (ru) Система увеличения количества обнаружений вредоносных объектов