Информация из статьи применима к программе Kaspersky CRYSTAL R2
Работа компонента Проактивная защита основана на контроле и анализе поведения всех программ, установленных на компьютере. На основании выполняемых действий Kaspersky CRYSTAL R2 принимает решение: является программа опасной или нет. Таким образом компьютер остается защищенным не только от уже известных вирусов, но и от новых, еще не исследованных.
В отличие от Контроля программ, Проактивная защита реагирует именно на определенную последовательность действий программы. Анализируется активность всех программ в том числе и отнесенных к группе Доверенные компонентом Контроль программ.
К опасному или вредоносному поведению ПО может относиться следующая активность:
- Активность, характерная для троянских программ;
- Доступ к ресурсам системы (например, к реестру системы);
- Самокопирование программы на сетевые ресурсы, в каталог автозапуска, в системный реестр с последующей рассылкой своих копий;
- Перехват ввода данных с клавиатуры;
- Скрытая установка драйверов;
- Изменение ядра операционной системы;
- Создание скрытых объектов и процессов с отрицательными значениями идентификаторов (PID);
- Изменение файла HOSTS;
- Внедрение в другие процессы;
- Отправка DNS – запросов.
Все вышеперечисленные виды активности контролируются и анализируются продуктом с помощью статического набора эвристик (моделей подозрительной активности приложений). С целью повышения быстроты реакции на новые угрозы помимо статического набора эвристик в Kaspersky CRYSTAL R2 используется специальный функционал – поддержка обновляемых эвристик.
Обновляемые эвристики – это регулярно обновляемый набор шаблонов (сигнатур) опасного поведения программ. Технология позволяет при обнаружении нового вируса или новой модификации уже известного вредоносного ПО обновлять не весь модуль Проактивной защиты, а добавлять новую сигнатуру в базу эвристик и обновлять ее вместе с антивирусными базами продукта.
Помимо возможности регулярного обновления в базе эвристик также предусмотрена поддержка пробных поведенческих шаблонов. Если Проактивная защита согласно одному из таких шаблонов детектирует поведение приложения как подозрительное, то в Лабораторию Касперского отправляется специальный отчет через сеть Kaspersky Security Network (KSN). Такая возможность реализуется, если пользователь подтвердил согласие на участие в KSN. Данная особенность позволяет в будущем свести вероятность ложных срабатываний до минимума.
