Файловая защита - первый уровень защиты Symantec

Продолжение статьи 5 уровней защиты решений от Symantec.

Существует распространенное заблуждение о том, что работа антивирусных сканеров заключается именно в поиске файлов по базам, чтобы определить, является ли файл хорошим или нет. На самом деле, современные антивирусные решения выходят далеко за рамки сопоставления файлов с сигнатурами: применяют общие и эвристические методы обнаружения угроз.

Фактически, лучшие антивирусные движки предоставляют многочисленные методы выявления известных и неизвестных угроз. Файловая защита продуктов компании Symantec, является именно одной из таких технологий.

Файловая защита имеет довольно продолжительную историю, почти как один из краеугольных камней нашей технологии защиты. STAR продолжает инвестировать и развивать файловую защиту антивирусных решений Symantec, чтобы в компании могли обладать повышенными наработками на широком поле интернет-угроз. Наличие зараженных файлов на машине пользователя, является основным методом сохранения существования зловреда после первоначального заражения.

Для предотвращения подобного и существует файловая защита: именно она играет важную роль в выявлении, нейтрализации и удаления угроз с компьютеров наших клиентов. Основными направлениями защиты, которые обеспечивает наша файловая технология, являются:

• Вредоносные программы и вирусы;
• Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы и общие угрозы Нулевого дня;
• Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
• Боты и ботнеты;
• Руткиты;
• Вредоносные PDF-файлы и документы Microsoft Office (Powerpoint, Excel, Word);
• Вредоносные файлы в архивах;
• Программы-шпионы и Adware;
• Кейлоггеры.

Для того, чтобы противостоять этим угрозам, четыре различных компонента формируют основу нашей файловой защиты: Антивирусное ядро, Автоматическая защита, движок ERASER, а также наши эвристические методы: Malheur и Bloodhound. 

Антивирусное ядро

Уникальный сканирующий движок Symantec, развернут более чем на 350 миллионах машин. Это стабильный, высокопроизводительный движок, обеспечивающий безопасность от последних угроз. Движок часто обновляется при помощи LiveUpdate, что позволяет беспрепятственно реагировать на новейшие угрозы. Это позволяет нам актуализировать обнаружающую способность нашего продукта без требования полного обновления.

Автоматическая защита

Файловый сканер Symanteс, обнаруживает угрозы в файловой системе в режиме реального времени. Сделанная на уровне ядра, Автоматическая защита является высокопроизводительным сканирующим движком, который защищает пользователя от новейших угроз, при этом не мешая ему. При записывании файлов на жесткий диск, срабатывает Автоматическая защита и ее компоненты: антивирус и движки Malheur и Bloodhound. Работая на низком уровне, Автоматическая защита позволяет заблокировать инфицированный файл до его запуска- прежде, чем он сможет заразить систему. Помимо защиты файлов, Автоматическая защита обеспечивает ключевую функциональность Download Insight - части нашей передовой технологии анализа репутации файлов.

Движок ERASER

Движок ERASER компании Symantec обеспечивает возможность ремонта и устранения угроз, найденных в системе пользователя. ERASER также отвечает за проверку драйверов и приложений при загрузке, чтобы исключить их зловредность. Чтобы убедиться в том, что наш продукт не «обманывается» руткитами или другим вредоносным ПО, ERASER имеет функционал прямого доступа к реестру и диску.

Malheur и Bloodhound

В дополнение к сигнатурному методу обнаружения, мы снабжаем продукт технологиями, которые могут «осудить» файл еще до того, как он был впервые обнаружен, если он обладает характеристиками зловреда. Защита на базе эвристики реализована в наших технологиях Malheur и Bloodhound. Эвристические сигнатуры способны определить неизвестные вредоносные программы на основе атрибута файла, при попытке использовать системные уязвимости, а также на основе общих действий, свойственных зловредным программам.

Подробнее о файловой защите

Каждый из последующих разделов подробно описывает технологии файловой защиты, присущие компонентам, описанным выше.

Широкая поддержка файлов

Сжатые файлы и файлы, находящиеся внутри других- один из примеров среди множества файловых типов, которые могут быть проанализированы на наличие скрытого вредоносного ПО. Неполный перечень доступных для анализа файлов включает в себя:

DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Движок распаковки

В некоторых случаях, вредоносная программа использует «упаковщик», чтобы скрыть свои файлы и избежать попытки обнаружения технологией сопоставления файлов с базами. Наш движок распаковки имеет возможность:

- Распаковывать исполняемые файлы;
- Распознавать сотни семейств пакера;
- Рекурсивно распаковывать файлы, которые были многочисленно упакованы, т.е. до достижения основного вредоносного файла.

Generic Virtual Machine

GVM позволяет коду быть выполненным в изолированной безопасной среде.

- Байт-код на основе систем, таких, как Java или C#, позволяет чрезвычайно быстро производить новые защитные технологии- без зависаний и аварий приложения.
- Применяет экстремально сложную эвристику и «семейные» сигнатуры для зловредов на подобии Trojan.Vundo.
- Проводит все этапы сканирования для нетрадиционных файловых форматов: в т.ч. PDF, DOC, XLS, WMA, JPG и другие.

Анти-полиморфный движок

Включает в себя передовые технологии эмуляции CPU, с целью демаскировки вредоносного ПО.

Анти-руктит технологии

Symantec имеет 3 разные анти-руткит технологии, предназначенные для удаления даже самых упрямых руткитов, наподобие Tidserv и ZeroAccess. Техники включают в себя:

- Прямой доступ к тому диска и прямое сканирование кустов реестра;
- Сканирование памяти ядра.

Движок анти-трояна

Включает в себя технологии хеширования, которые позволяют безостановочно сканировать на наличие миллионов троянов и шпионских программ, делая это буквально за микросекунды времени.

- Находит и извлекает регионы ключевых файлов, которые содержат следы и логику зловредов;
- Обрабатывает криптографические хеш-файлы каждого раздела, и производит их поиск в базе «отпечатков»;

Движок Photon

Использует «размытые» сигнатуры для выявления как известных, так и новых, неизвестных вариантов вредоносных программ.

- Сканирует файлы, одновременно используя сотни тысяч «размытых» сигнатур, кардинально улучшая производительность сканирования;
- «Размытые» сигнатуры позволяют детектировать абсолютно новые вредоносы, практически в момент их появления

Движок расширенной эвристики

- Проводит более десятка различных эвристических поисков на наличие подозрительных характеристик.
- Все подозрительные файлы соотносятся с облаком Symantec и списками доверенных цифровых подписей.
- Движки используют контекст для регулировки эвристической чувствительности; в т.ч. эвристика относится с большим подозрением к только что загруженном файлу, нежели к уже установленному.

В следующей статье мы рассмотрим уровень "Сетевая защита".

По материалам Symantec