Nei laboratori Kaspersky Lab è presente una enorme raccolta di codice malevolo e ciascuna minacce rilevabile è stata classificata per nome di rilevamento. Quando un wookpecker_kasperskynuovo campione mai rilevato prima arriva, inizia una ricerca all’interno della raccolta alla ricerca di campioni simili.

La ricerca utilizza lo stesso principio utilizzato da un motore di ricerca sul web, come Google. L’unica differenza è che la ricerca di Google è basata su parole, mentre queste ricerche sono basate su caratteristiche del file.

Nello scenario più semplice, il campione di malware è stato decompresso correttamente ed è stato possibile estrarre le stringhe responsabili delle funzionalità del malware, da utilizzare in modo simile a come le parole chiave vengono utilizzate da un motore di ricerca.

A complicare il compito di robot ed umani c’è la possibilità che il codice sia statoencryption_title opportunamente offuscato per rendere di difficile lettura ed interpretazione. Nella maggior parte dei casi invece è necessario studiare il comportamento del codice per poterlo classificare ed emettere un verdetto corretto.

Nel caso in cui è possibile estrarre le stringhe responsabili della funzionalità un sistema automatico ordina il flusso di campioni in entrata ed aggiunge dei codici hash per identificare l’oggetto rilevato. Un semplice record di hash copre il rilevamento di un solo file, ma in questo modo possiamo essere sicuri che non ci saranno “falsi positivi”.

Quando il malware in analisi non contiene campioni simili a quelli già noti, i casi possibili sono due: si tratta di qualcosa di completamente nuovo, oppure semplicemente non si tratta di un malware. È qui che entra in gioco l’esperienza degli analisti AV umani. Disassemblando e analizzando il campione, l’analista crea una sorta di “centro di gravità” nella raccolta. Nel tempo, le altre versioni modificate del nuovo campione verranno automaticamente gravitate verso questo punto di riferimento.

In questa maniera è possibile ottenere delle firme da distribuire agli endpoint con velocità per le varianti.

Inizia una prova gratuita senza limitazioni della soluzione Kaspersky Endpoint Security for Business oppure scrivi all’indirizzo rivenditori@questar.it o telefona allo 035-6666.399