«Лабораторія Касперського» отримала патент на систему, що розпізнає шкідливе програмне забезпечення (ПО), яке було модифіковано за допомогою раніше невідомих шіфровщікі або пакувальників. Дана технологія вже працює в ключових антивірусних розробках компанії, як для домашніх, так і для людей та організацій.
Як правило пакувальники і шіфровщікі створюють файл-контейнер, куди поміщається початкова версія якого-небудь шкідливого програмного забезпечення і код, який необхідний для розпакування або розшифровки тієї чи іншої програми. У свою чергу ці інструменти можуть бути використані зловмисниками для модифікації шкідливого ПО для ускладнення його пошуку програмними продуктами для захисту ПК. Така модифікація дозволяє модифікувати бінарний вигляд програми (додатки), що сприяє обійти сигнатурну перевірку. Таким чином небезпека зашифрованого, і шкідливого ПЗ в стислому вигляді полягає в тому, що навіть якщо антивірусна база і містить сигнатуру вихідного зразка потенційно небезпечного об`єкта, то з її допомогою можна виявити стислу версію такої програми.
Однак шкідливе ПО, яке було модифіковано популярними програмами пакувальниками (архиваторами), може без праці бути виявлено за допомогою евристичних правил, але набагато складніше буде виявити загрозу, якщо зловмисник створив свій унікальний пакувальник, який використовує власний унікальний алгоритм стиснення.
Технологія, яка була запатентована «Лабораторією Касперського» являє собою такий спосіб аналізу, при якому кожному новому пакувальників присвоюється свій спеціальний профіль, що описує його загальна поведінка під час запуску (розпакування об`єкта), що дозволяє виявляти модифіковане ПО, в разі виявлення, виходячи з тих операцій і процесів, які воно виконує.
У двох словах нова технологія працює так: якщо антивірусна програма визначає, виходячи з власного набору правил, що той чи інший файл викликає підозру і є ймовірність, що він був модифікований за допомогою невідомого раніше пакувальника, то антивірусне ПЗ звертається до запатентованої «Лабораторією Касперського» технології, яка в свою чергу емітує запуск підозрілого об`єкту в емуляторі з метою виявлення коду, що відповідає за розшифровку і запуск небезпечного об`єкта. На основі отриманих даних створюється спеціальний профіль, який дозволяє в майбутньому оперативно реагувати на файли модифіковані цим пакувальником.
На сьогоднішній день нова технологія вже впроваджена і успішно застосовується в таких продуктах «Лабораторії Касперського», як Kaspersky Internet Security і Kaspersky Security для бізнесу.