Como o emulador do Symantec Endpoint Protection detecta e limpa malware?

O
Symantec Endpoint Protection
14 apresenta um emulador novo e potente para proteger contra malware de ataques de compactadores personalizados. Para o Auto-Protect e as verificações de vírus, esse emulador melhora o desempenho e a eficácia da verificação em pelo menos 10%, em comparação com as versões anteriores. Essa técnica antievasão cuida de técnicas de ofuscação de malware em pacotes e detecta malwares ocultos em compactadores personalizados.
O que são compactadores personalizados?
Muitos programas de malware utilizam “packers”, ou seja, os programas de software usados para compactar ou criptografar arquivos para transmissão. Esses arquivos são executados na memória quando chegam ao computador do usuário.
Embora os compactadores não sejam malware, os invasores os utilizam para ocultar malware e ofuscar a verdadeira intenção do código. Quando o malware for descompactado, ele será executado e iniciará sua atividade maliciosa, geralmente ignorando firewalls, gateways e proteção contra malware. Os invasores passaram a criar compactadores personalizados em vez de usar os compactadores comerciais (por exemplo, UPX, PECompact, ASProtect e Themida). Os compactadores personalizados usam algoritmos exclusivos para ignorar a detecção de técnicas comuns.
Muitos dos compactadores personalizados emergentes são polimórficos. Eles usam uma estratégia de antidetecção na qual o código em si muda com frequência, mas a finalidade e a funcionalidade do malware permanecem iguais. Os compactadores personalizados também usam maneiras inteligentes de inserir o código em um processo de destino e alterar seu fluxo de execução, mudando as rotinas dos compactadores frequentemente. Alguns exigem recursos de computação intensivos, chamando APIs especiais que tornam a descompactação complicada.
Os compactadores personalizados estão ficando cada vez mais sofisticados para ocultar o ataque até que seja tarde demais.
Como o emulador do
Symantec Endpoint Protection
protege contra compactadores personalizados?
O emulador de alta velocidade do
Symantec Endpoint Protection
engana o malware para ele acreditar que foi executado no computador normal. Em vez disso, o emulador descompacta e estraga o arquivo compactado personalizado em uma área restrita virtual leve do computador-cliente. Em seguida, o malware inicia toda a sua atividade, revelando as ameaças em um ambiente contido. Um verificador de dados estáticos, que inclui o mecanismo antivírus e o mecanismo heurístico, age sobre a atividade. A área restrita é temporária e desaparece após lidar com a ameaça.
O emulador requer uma tecnologia sofisticada que imita instruções de sistemas operacionais, APIs e processadores. Ele gerencia a memória virtual e executa várias tecnologias heurísticas e de detecção simultaneamente para examinar a atividade. Leva em média 3,5 milissegundos para limpar arquivos e 300 milissegundos para eliminar malware, o que é quase o mesmo tempo que os usuários do cliente demoram para clicar em um arquivo da área de trabalho. O emulador pode detectar ameaças rapidamente com o mínimo de impacto na produtividade e no desempenho, para que os usuários do cliente não sejam interrompidos. Além disso, o emulador usa uma quantidade mínima de espaço em disco, no máximo 16 MB de memória no ambiente virtual.
O emulador funciona com outras técnicas de proteção, que incluem aprendizagem de máquina avançada, mitigação de explorações da memória, monitoração de comportamento e análise de reputação. Às vezes, vários mecanismos trabalham juntos, colaborando em uma resposta para impedir, detectar e corrigir ataques.
O emulador não usa a Internet. No entanto, os mecanismos do verificador de dados estáticos podem precisar acessar a internet, dependendo do tipo de malware que o emulador extrair do compactador personalizado.Consulte:
Como faço para configurar o emulador?
O emulador está integrado no software do
Symantec Endpoint Protection
para que você não precise configurá-lo. A Symantec adiciona ou altera o conteúdo do emulador regularmente para novas ameaças e libera atualizações trimestrais de conteúdo para o mecanismo do emulador. Por padrão, o LiveUpdate faz o download automático desse conteúdo com as definições de vírus e spyware.Consulte:
O
Symantec Endpoint Protection Manager
não inclui logs separados para as detecções do emulador. Em vez disso, você pode encontrar todas as detecções no log de riscos ou no log de verificações.Consulte: