Wie erkennt und bereinigt der Emulator in Symantec Endpoint Protection Malware?

Symantec Endpoint Protection
14 hat einen leistungsstarken neuen Emulator zum Schutz vor Malware von benutzerdefinierten Packer-Angriffen. Für Auto-Protect und Virenscans verbessert dieser Emulator die Scanleistung und -wirksamkeit um mindestens 10 Prozent im Vergleich zu früheren Versionen. Dieses Verfahren erkennt verschleierte Malware, die in benutzerdefinierten Packern verborgen ist.
Was sind benutzerdefinierte Packer?
Viele Malware-Programme nutzen "Packer", d. h. Software zum Komprimieren und Verschlüsseln von Dateien für die Übertragung. Diese Dateien werden dann bei Empfang auf dem Benutzercomputer im Arbeitsspeicher ausgeführt.
Packer selbst sind zwar keine Malware, Angreifer verwenden sie jedoch, um Malware zu verstecken und die wahre Absicht des Codes zu verschleiern. Sobald die Malware entpackt ist, wird sie ausgeführt und startet ihren destruktiven Auftrag, wobei sie oft Firewalls, Gateways und Malware-Schutz umgeht. Angreifer verwenden keine kommerzielle Packer (wie UPX, PECompact, ASProtect und Themida) mehr, sondern erstellen benutzerdefinierte Packer. Diese verwenden proprietäre Algorithmen, um Standarderkennungsverfahren zu umgehen.
Viele neue benutzerdefinierte Packer sind polymorph. Sie verwenden eine Strategie zum Verhindern der Erkennung, indem sich ihr Code häufig ändert, aber Zweck und Funktionalität der Malware gleich bleibt. Benutzerdefinierte Packer sind auch eine schlaue Art, Code in Zielprozesse einzuschleusen und deren Ausführung zu ändern, wobei häufig Entpackungsroutinen manipuliert werden. Einige davon sind sehr rechenintensiv und rufen spezielle APIs auf, die das Entpacken erschweren.
Benutzerdefinierte Packer sind immer komplexer geworden, um den Angriff zu verbergen, bis es zu spät ist.
Wie schützt der
Symantec Endpoint Protection
-Emulator vor benutzerdefinierten Packern?
Der Hochgeschwindigkeits-Emulator in
Symantec Endpoint Protection
täuscht Malware vor, dass sie auf einem gewöhnlichen Computer ausgeführt wird. Stattdessen entpackt der Emulator die Datei und führt sie in einer schlanken virtuellen Sandbox auf dem Clientcomputer aus. Die Malware öffnet dann ihren destruktiven Auftrag, sodass Bedrohungen in einer geschlossenen Umgebung sichtbar werden. Ein Static Data Scanner, der die Antivirus-Engine und Heuristik-Engine enthält, ergreift entsprechende Maßnahmen. Die Sandbox ist kurzlebig und löst sich nach Bearbeitung der Bedrohung auf.
Der Emulator erfordert eine komplexe Technologie, die Betriebssysteme, APIs und Prozessoranweisungen imitiert. Er verwaltet gleichzeitig den virtuellen Arbeitsspeicher und führt verschiedene Heuristik und Erkennungstechnologien aus, um den destruktiven Auftrag zu untersuchen. Er benötigt durchschnittlich 3,5 Millisekunden für saubere Dateien und 300 Millisekunden für Malware. Dies entspricht ungefähr der Zeit, die Clientbenutzer zum Klicken auf eine Datei benötigen. Der Emulator kann Bedrohungen rasch und mit minimalen Auswirkungen auf Leistung und Produktivität erkennen, damit Clientbenutzer nicht bei der Arbeit unterbrochen werden. Außerdem benötigt der Emulator nur wenig Speicherplatz, maximal 16 MB Arbeitsspeicher in der virtuellen Umgebung.
Der Emulator funktioniert mit anderen Schutzverfahren wie Advanced Machine Learning, Memory Exploit Mitigation, Verhaltensüberwachung und Reputationsanalyse. Manchmal arbeiten mehrere Engines zusammen, um Angriffe zu verhindern, zu erkennen und zu beheben.
Der Emulator benötigt keine Internetverbindung. Die Engines im Static Data Scanner erfordern jedoch möglicherweise eine Verbindung, je nach Malware, die der Emulator aus dem Packer extrahiert hat.
Wie konfiguriere ich den Emulator?
Der Emulator ist in
Symantec Endpoint Protection
integriert, Sie müssen ihn also nicht konfigurieren. Symantec ergänzt oder ändert den Emulator-Content regelmäßig, um neue Bedrohungen zu berücksichtigen und veröffentlicht vierteljährlich Content-Updates für die Emulator-Engine. Standardmäßig lädt LiveUpdate automatisch diesen Content mit den Viren- und Spyware-Definitionen herunter.
Symantec Endpoint Protection Manager
enthält keine separaten Protokolle für die Erkennungen des Emulators. Stattdessen finden Sie diese Erkennungen im Risikoprotokoll und Scanprotokoll.