[发明专利]收集和分析恶意软件数据

说明书

背景技术

反病毒、反间谍软件、以及其他反恶意软件应用程序通过标识有害应用程序或其他可执行代码并且移除或至少中立化该有害代码来设法保护客户机计算机。当前反恶意软件应用程序(例如，微软Windows Defender、微软Forefront Client Security、微软OneCare、微软Exchange服务器的Forefront服务器等等)使用基于签名的方法来检测病毒、蠕虫、以及间谍软件。基于签名的方法依赖于恶意软件的一个或多个区别特征以提供肯定标识，使得反恶意软件应用程序可以移除它。例如，特定恶意软件应用程序可以具有特定文件名、将特定值写入操作系统配置数据库(例如，微软Windows Registry)，或包含具有特定字节的可执行代码(例如，使用CRC、密码散列、或其他签名算法标识的)

基于签名的方法更多地取决于本领域的技术人员对现有恶意软件的分析以及该分析的质量。通常，技术人员接收新威胁的样本、或已知威胁的变体。例如，用户可以将该威胁以一个或多个文件的形式用电子邮件发送到电子邮件地址用于报告恶意软件。该技术人员随后开始调查。在调查期间，该技术人员可以在诸如即使恶意软件影响计算机系统但对其他计算机系统也不能造成危害的沙箱计算机系统等虚拟环境中执行恶意软件。如果恶意软件样本在虚拟环境中成功地运行并且产生足够信息，则该技术人员分析执行历史、所创建的/所删除的文件的内容、注册表项、网络活动、以及恶意软件的其他活动，并且创建删除签名和移除指令。例如，如果恶意软件在特定目录中创建文件virus.exe，则该签名可以标识该文件，并且移除脚本可以指定在其典型的位置删除该文件。

出于若干原因，这种类型的分析是有问题的。首先，该过程涉及人类分析，并且由此因为可用技术人员要审阅新威胁而变慢并且发生瓶颈。新威胁的速率一直在增加，并且可用技术人员常常比创建新恶意软件的恶意软件作者更少。其次，技术人员可能不能够在虚拟环境中成功地运行恶意软件，并且由此可能不能够理解恶意软件如何表现的完整模型。这可以导致例如不能检测具有某些变体形式的恶意软件、或对恶意软件的不完全移除。恶意软件可能无法在虚拟环境中运行的原因的示例是恶意软件将技术人员的域名检测为反恶意软件供应商的域名、在操作系统版本或安装的应用程序不是恶意软件作者所期望的时恶意软件运行失败等等。有时从顾客计算机接收的样本可能包含不足够的关于威胁的信息。例如，报告可以仅包括驱动程序以及几个其他文件，而没有足够信息供技术人员理解如何运行恶意软件。这一情况通常以影响顾客体验的不完整的检测/移除而告终。

当用户访问网站并且允许安装“未知软件”(通常，用户认为他们正安装良好的软件)时，客户机计算机常常被感染。用户所访问的原始URL常常不包含二进制代码，而是重新定向到另一“短生存周期”的统一资源定位符(URL)。一旦技术人员接收原始URL并且开始调查，则该“短生存周期”URL可以不再包含恶意软件。技术人员可能永远不会接收足够信息来捕捉真正的罪犯、或检测具有其最早形式的恶意软件。此外，某些样本可以暂时规避分析，因为技术人员或早期威胁分析将它们的优先级确定为低。例如，威胁可以接收到有限数量的报告，这可仅仅因为反恶意软件还不是固有地检测威胁(即，虚假否定)。

另一问题是对其中由技术人员产生的移除脚本不清理新变体的先前所标识的恶意软件的新变体的误标识。这可以来自用关于恶意软件家族中的当前改变的最新信息来更新反恶意软件应用程序的缓慢。技术人员还可能没有接收被分析的恶意软件的完整画面，因为恶意软件期望专用环境、或在技术人员的环境中不明显或不存在的用户动作的结合。例如，在恶意软件执行之前，可以期望用户访问特定网站。当用户访问该网站之后，恶意软件可以用属于通过间谍软件网站对用户的web浏览器通信重新定向并且监视用户的浏览习惯的恶意软件的一个证书来替换用户的安全证书，。如果技术人员永远没有访问该网站，则恶意软件将不产生足够信息供技术人员理解恶意软件的损坏行为。

发明内容