Teknologihöjdpunkter

Första generationen: Antivirusprogram

Den första generationens antivirusprogram byggde uteslutande på signaturbaserad detektion.

Denna teknikgeneration dominerade under större delen av nittiotalet och inbegrep både polymorfiska motorer och enkel regelbaserad MS-DOS, Win32, Macro och senare skriptbaserad heuristik. Under samma period kom också de första win32-trojanerna av större omfattning, exempelvis NetBus och BackOrifice.

Andra generationen: Skydd mot skadlig programvara

Nya typer av skadlig programvara började dyka upp från och med år 2000 och maskar inom trådlösa nätverk och spionprogram fick den största uppmärksamheten på grund av sina omfattande och uppseendeväckande epidemier.

Enkla antivirusprogrammen utvecklades så att de kom att innehålla personliga brandväggar som kunde identifiera och stoppa nätverksmaskar. Detta baserades på paketsignaturer och rensningsverktyg för återställning av modifierade inställningar och registerposter i operativsystem, t.ex. HOST-filer, BHO:er (Browser Helper Objects). Det är inom denna andra generations teknik som Panda Software lade in sin funktion SmartClean i skyddet mot skadlig programvara. Funktionen syftar till att rengöra och återställa operativsystem där spionprogram eller Trojaner tagit sig in bakvägen.

Tredje generationen: Förebyggande teknik

TruPrevent

Panda gav 2004 ut TruPrevent - en teknik som är baserad på virusets beteende - efter mer än tre års intensiv forskning och utveckling.

TruPrevent har alltsedan dess utvecklats till en hel uppsättning beteendebaserade teknologier. Dessa blockerar nykonstruerad skadlig programvara effektivt och förebyggande, utan att behöva förlita sig på virussignaturer, vilket gör oss framgångsrikare än andra inom samma område.

Det sker en ständig utveckling av TruPrevent för att möta ny skadlig programvara och nya attackmetoder. TruPrevent konstruerades ovanpå skyddet mot skadlig programvara. För närvarande används TruPrevent i över 5 miljoner datorer. Alla dessa datorer fungerar också som höginteraktiva honungsfällor. Dessa ger PandaLab information om ny skadlig programvara som TruPrevent varnar för, men som inte upptäcks med vanliga antivirussignaturer.

TruPrevent bygger huvudsakligen på två viktiga tekniker: beteendeanalys och beteendeblockering, vilket också kan benämnas system- och applikationshärdning.

Beteendeanalys

Beteendeanalys fungerar som en sista försvarslinje mot ny skadlig programvara som lyckas ta sig igenom såväl signaturer som heuristisk blockering och beteendeblockering. Proteus fångar kontinuerligt upp operationer och API-anrop från varje program och kontrollerar dessa, innan en fullständig körning av processen tillåts. I och med att kontrollen av korrelation körs i realtid är det processernas beteende som avgör om körningen tillåts eller förhindras..

I motsats till andra beteendebaserade tekniker, är denna självgående och ställer inte tekniska frågor till användaren ("Vill du tillåta processen xzy att starta en tråd i explorer.exe eller adresslistan abc?"). Tekniken kräver inte heller uppdatering av signaturer, eftersom den enbart bygger på applikationernas beteende. En bot skulle inte vara en bot om den inte betedde sig som en sådan. Men om den gör det identifieras den av den här tekniken, oavsett hur den ser ut eller vad den heter.

Beteendeblockering

TruPrevent Behavior Blocking är den andra viktiga komponenten. Hackare och skadlig programvara missbrukar de legitima programmens rättigheter genom att lägga in kod för sina attacker mot systemen. Ska man ge ett allmänt skydd mot dessa attacker är det mycket kostnadseffektivt med ett regelbaserat system för blockering, vilket kan begränsa de åtgärder som auktoriserade applikationer kan utföra i systemet.

KRE består av en serie riktlinjer som definieras genom en uppsättning regler. Där fastställs vilka åtgärder som ska tillåtas eller förhindras inom ramen för olika tillämning eller grupper av tillämpningar. Reglerna kan kontrollera tillämpningens tillgång till filer, användarkonton, register, COM-objekt, Windows-funktioner och nätverk.

Genetic Heuristic Engine

Den “genetiska” tekniken har hämtat sin inspiration från genetiken inom biologin och dess betydelse för att förstå hur individer kan identifieras och kopplas till andra organismer. Denna teknik bygger på hantering och tolkning av ”digitala gener”, som i vårt fall utgörs av hundratals karaktäristiska egenskaper hos vare fil som skannas in.

Genetic Heuristic Engine, GHE, släpptes för första gången på marknaden 2005.GHE syftar till att kontrollera filernas genetiska egenskaper med hjälp av vår egenutvecklade algoritm. Genom digitala genetiska spår avläser man programmets förmåga att utföra skadliga eller harmlösa åtgärder när det körs på en dator. GHE kan avgöra om en fil ska betraktas som ofarlig, mask, skadlig programvara, trojan, virus, etc.

Kollektiv intelligens. Nästa generation.

Idag sprids tio gånger fler skadliga program än för två år sedan. En slutsats skulle kunna vara att ett säkerhetssystem måste upptäcka tio gånger fler skadliga program, för att ge användarna ett adekvat skydd. Visserligen höjer ett fullfjädrat HIPS-system ribban avsevärt eftersom det upptäcker och blockerar de flesta av dessa genom förebyggande teknik. Men okända sabotageprogram kan fortfarande smita igenom sådana skydd.

Satsningen på kollektiv intelligens släpptes ursprungligen vid slutet av 2006 inom begränsade pilotversioner. Syftet var att på ett betryggande sätt upptäcka ”Tio gånger mer än vad vi redan upptäcker, med tio gånger mindre ansträngning”.

Grundstommen i detta nya system var: