[发明专利]用于处理恶意软件的方法和装置

说明书

本申请是申请日为2006年6月30日、申请号为“200680023707.8”，发明名称为“用于处理恶意软件的方法和装置”的发明专利申请的分案申请。

技术领域

本发明一般涉及用于处理恶意软件的方法和装置。在一个方面中，本发明涉及一种用于将计算机对象分类为恶意软件的方法和装置。在另一个方面中，本发明涉及一种用于确定远程计算机能够防止恶意软件的方法和装置。在另一个方面中，本发明涉及一种用于将计算机对象分类为恶意软件或安全的方法和装置。在另一个方面中，本发明涉及一种在计算机上安装软件的方法。

背景技术

在此使用的术语“恶意软件”一般指任何可执行的计算机文件或者是恶意代码或包含恶意代码(并且因此包括病毒、特洛伊、蠕虫、间谍软件、广告软件等)的更一般的“对象”。

一种诸如反病毒扫描软件的典型反恶意软件产品扫描对象或应用于对象的算法结果或其部分，从而在已知指示存在病毒的对象中查找签名(signature)。通常地，处理恶意软件的方法：当新型恶意软件例如经由因特网发布时，最终检测这些恶意软件。一旦检测到新的恶意软件条目，那么该领域中的服务提供商生成试图处理这些恶意软件的签名，并且然后将这些签名发布以更新他们的反恶意软件程序。还使用了启发式(Heuristic)方法。

这些系统很好地用于防止已知的恶意对象。然而，由于它们依靠生成和/或更新的签名文件，所以在一个新的恶意软件开始存在或发布与生成或更新用于与恶意软件进行战斗的签名并且将其提供给用户之间存在着不可避免的延迟。因此，用户在一个特定时间段内处于来自于新的恶意软件的风险中，该特定时间段可能高达一周甚至更长。而且，为了尽量击败反病毒产品，恶意软件编写者使用混淆(obfuscation)技术从而试图隐藏病毒代码的签名或签名基础数据以防止检测。通常地，混淆包括加密或对病毒代码打包。

WO-A-2004/097602描述了一种系统，该系统分析由本地计算机接收或生成的计算机文件并且将这些文件与已知文件的数据库进行比较以确定特定文件是否是已知的，并且如果是，确定该特定文件是否在足够长的时间内已知从而可以被看作“安全的”。然而，在实践中，关于它本身，这不太可能提供足够的保护，因为例如，可以仅将病毒或特洛伊的有效载荷进行编程来激活，这可以在特定日期、或者当从本地或远程系统或进程接收消息或指令时，或者可以在该进程已经进行了第一次运行或被发布之后的数月或者甚至数年时发生特定事件的时候进行。因此，仅查看文件的时间长短不是确定它是否是适当地安全的并且将继续如此的满意方法。

在WO-A-2004/0083408的系统中，通过检查由计算机上运行的特定文件进行的连接尝试来检测文件中的蠕虫。

US-A-6944772、US-A-6772346、EP-A-1549012和EP-A-1280040都公开了“基于群体的”反恶意软件系统，其中多个“本地”计算机都经由网络(例如，其可以是LAN或因特网)连接到中央计算机。在遇到它们还不知道的文件时，本地计算机向中央计算机发送对运行文件进行授权的请求。如果在中央计算机处识别了文件，那么中央计算机可以发送对本地计算机的许可，以便当已知文件是安全时运行该文件，或者当已知文件是恶意时发送“拒绝”命令。然而，在这些现有技术方案的每个中，如果该文件在中央计算机处不是已知的，那么整个文件被发送到中央计算机，其中可以分析该文件以确定它是否应该被看作安全的还是恶意的。通常通过对文件进行详细分析(例如，通过模拟或解释)来手工或“半手工”执行此类分析，其可能仍需要花费数天来满足通常要求的人的介入。因此，在将新文件分类为安全或恶意软件之前仍旧存在相当长的时间段。在这些现有技术系统的情况中，由本地计算机发送到中央计算机的对运行文件授权的请求可以包括发送校验和或者唯一代表文件的“关键字”或“签名”。

类似的基于群体的反恶意软件系统在WO-A-02/33525中公开。在此系统中，在本地计算机寻求许可(clearance)运行中央计算机不知道是安全或恶意软件的文件的情况中，在其他本地计算机上的关于文件普及的某些受限审核信息可以被发送给与寻求允许运行该文件的本地计算机相关联的人类系统管理员。因此，人类系统管理员仍旧可以通过“手工”决定文件是否是运行安全的来更好地获得通知。

在US-A-2004/0073810的系统中，包含关于附件或其他传输的文件的数据的元文件发送到中央计算机。对关于该文件的数据进行分析从而确定传输的文件是恶意软件的可能性。给出的特定示例是，如果传输文件已经经由至少一定数目的服务器进行了传输，那么它应该被作为恶意软件。