Каким образом эмулятор в Symantec Endpoint Protection выполняет обнаружение и удаление вредоносных программ?

В версии
Symantec Endpoint Protection
14 появился новый мощный эмулятор, обеспечивающий защиту от атак вредоносного кода с использованием нестандартных упаковщиков. Применительно к автоматической защите и сканированиям на наличие вирусов этот эмулятор повышает быстродействие сканирования и эффективность как минимум на 10 процентов по сравнению с предыдущими выпусками. Эта техника направлена против способов уклонения и запутывания, используемых упакованными вредоносными программами. Она обнаруживает их внутри пользовательских пакетов.
Что представляют собой нестандартные упаковщики?
Многие вредоносные программы используют специальные программы создания пакетов («упаковщики»), предназначенные для сжатия и шифрования передаваемых файлов. Эти файлы запускаются в памяти после проникновения на компьютер конечного пользователя.
Сами по себе упаковщики не являются вредоносными программами; они позволяют скрыть вредоносный код и обойти систему защиты. После распаковки вредоносной программы запускается вредоносное содержимое, действующее в обход брандмауэров, шлюзов и инструментов защиты. В настоящее время наблюдается тенденция замены коммерческих упаковщиков (например, UPX, PECompact, ASProtect и Themida) на нестандартные пакеты. В них используются алгоритмы, разработанные самими злоумышленниками с целью обхода стандартных технологий обнаружения.
Многие новые упаковщики относятся к группе полиморфных. Используемая ими стратегия противодействия обнаружению требует частой модификации исходного кода, без изменения цели и функций вредоносной программы. Кроме того, нестандартные упаковщики способны эффективно встраивать код в целевые процессы и изменять ход выполнения ПО, чтобы еще больше запутать систему защиты. Иногда для их работы требуется большой объем вычислений и вызов специальных API, что усложняет процесс распаковки.
Нестандартные упаковщики позволяют максимально долго скрывать проведение атаки.
Каким образом эмулятор
Symantec Endpoint Protection
обеспечивает защиту от нестандартных упаковщиков?
Высокопроизводительный эмулятор
Symantec Endpoint Protection
ведет себя как обычный компьютер с точки вредоносной программы. При этом эмулятор распаковывает и запускает вредоносный файл в виртуальной тестовой среде (sandbox) на клиентском компьютере. Затем вредоносная программа в полной мере проявляет себя в ограниченной середе. Сканер статических данных, включающий модуль антивирусной защиты и эвристики, анализирует полезную нагрузку. Тестовая среда исчезает после обработки угрозы.
В эмуляторе применяются сложные технологии, имитирующие работу операционных систем, API и инструкции процессора. Одновременно с этим он должен контролировать виртуальную память и выполнять различные методы эвристического анализа и обнаружения полезной нагрузки. Очистка файлов занимает в среднем 3,5 мс, удаление вредоносного кода — 300 мс. Примерно столько же времени требуется пользователю, чтобы открыть файл на рабочем столе. Эмулятор обеспечивает быстрое обнаружение угроз, сводя к минимуму влияние на производительность и быстродействие клиентских компьютеров. Кроме того, для работы эмулятора требуется минимум дискового пространства и не более 16 МБ памяти в виртуальной среде.
Эмулятор эффективно взаимодействует с другими технологиями защиты, в частности Advanced Machine Learning, системой предотвращения последствий использования эксплойтов памяти, мониторинга поведения и анализа репутации. Иногда для обнаружения, предотвращения или исправления угрозы требуется слаженная работа нескольких модулей.
Для работы эмулятора не требуется подключение к Интернету. Однако в зависимости от характера вредоносной программы, извлеченной из нестандартного упаковщика, сканеру статических данных может потребоваться доступ в Интернет.
Как настроить эмулятор?
Эмулятор — это встроенная функция программного обеспечения
Symantec Endpoint Protection
, не требующая специальной настройки. Компания Symantec регулярно дополняет и изменяет содержимое эмулятора с учетом новых угроз и выпускает ежеквартальные обновления модуля. По умолчанию LiveUpdate автоматически загружает это содержимое вместе с описаниями вирусов и программ-шпионов.
В
Symantec Endpoint Protection Manager
не предусмотрены отдельные журналы угроз, обнаруженных эмулятором. Эти сведения можно просмотреть в журнале угроз и журнале сканирования.