«Лаборатория Касперского» запатентовала средство борьбы с буткитами

Вид вредоносных программ, которые загружаются до операционной системы и, соответственно, еще до установленных антивирусов (так называемые буткиты), представляют собой одну из самых серьезных опасностей для компьютера. Часто им удается скрывать свое присутствие и действовать незаметно не только для пользователя, но и защитного ПО, отмечают в «Лабораторией Касперского». Новая запатентованная ими технология позволяет обнаруживать следы активности буткита и противодействовать ему.

Полученный «Лабораторией Касперского» патент описывает способ выявления неизвестных вредоносных программ с использованием эмуляции процесса загрузки компьютера. В случае обнаружения подозрительных изменений в главной загрузочной записи (Master Boot Record, MBR) технология позволяет собрать данные с секторов диска, участвующих в загрузке, помещает их в специальный контейнер, сохраняющий физические параметры диска для его точной эмуляции, и затем передает в компанию для анализа.

Специалисты «Лабораторией Касперского» воспроизводят процесс загрузки компьютера, анализируют содержимое полученного контейнера и в случае обнаружения неизвестной угрозы создают соответствующие сигнатуры, выделяют из присланных данных оригинальную загрузочную запись для восстановления системы и принимают другие необходимые меры для противодействия буткитам.

Кроме того, запатентованная технология может эффективно предотвращать попытки перезаписи MBR, перехватывая все обращения к ней и сканируя жесткий диск с использованием сигнатур известных угроз. В случае обнаружения подозрительной активности технология блокирует доступ к MBR, а обнаруженный вредоносный файл или данные удаляются или отправляются в карантин.

Технология уже применяется в ряде продуктов компании, в том числе Kaspersky Internet Security’2013, Kaspersky Endpoint Security 8 для Windows и Kaspersky CRYSTAL.