Наряду с разработкой Outpost 7 мы продолжаем совершенствовать наш антивирус. За последний месяц мы уже 3 раза обновили его механизм. Новейшая версия антивирусного ядра используется в публичной бета-версии Outpost Pro7, которая вышла 9 апреля.
Для повышения производительности и стабильности мы сделали акцент на обработке дополнительных типов файлов и алгоритмах, которые ранее могли вызывать замедления в работе ПК и ложные срабатывания.
Вот что добавлено в антивирусный движок версии 5.1.:
1. Настройки детектирования языка AutoIt.
AutoIt – свободно распространяемый язык сценариев для автоматизации выполнения задач в Microsoft Windows. Напоминает языки семейства BASIC. Формат AutoIt очень похож на самораспаковщики – содержит «заглушку» для исполняемых файлов (PE – Portable Executable) и многослойные части, использующие один или несколько источников, и может выполняться автоматически без вмешательства пользователя.
Основные улучшения в работе с такого типа файлами содержат:
• Упорядочены общие сценарии обнаружения;
• Каждый источник дешифруется, распаковывается и, при необходимости, его метки стираются;
• Некоторые редкие версии AutoIT распознаются, но не поддерживаются.
2. Другой формат, на который мы обратили внимание в новом антивирусном ядре, – старый добрый PDF.
Улучшение поддержки PDF заключается в возможности обрабатывать структурированные под браузер (linearized), обновляемые, а также сфальсифицированные (crafted) PDF-файлы.
Часто при открытии Adobe Reader исправляет (полностью или частично) «битые» файлы. Для предотвращения этого новый антивирусный движок Outopst использует метод идентификации PDF-объектов, который также позволяет работать с испорченными файлами. Большинство объектов PDF и их надстройки обычно безвредны. Однако встроенные сценарии JavaScript могут представлять реальную угрозу. Такие объекты мы распаковываем и проверяем на предмет наличия вредоносного ПО.
3. Последнее, но не менее важное. Версия 5.1 интеллектуально обрабатывает файлы формата SWF, поддерживаемые Adobe® Flash® Player и передающие векторную графику, текст, видео и звук через Интернет.
Так, новая версия обрабатывает как сжатые (CWF), так и несжатые (SWF) Flash-файлы. Корректный CWF, сжатый с помощью zlib, сперва распаковывается.
4. Другие улучшения включают:
• Корректно обрабатывается экстра-заголовок BZIP;
• MS CAB использует вычисляемый сжатый размер вместо хранимого;
• Принимаются неподдерживаемые методы сжатия ZIP;
• Более устойчивое обнаружение ZIP –способно распознавать поддельные ZIP-файлы со скрытым содержимым;
• Автоматически сканируемые уровни архивов обрабатываются во время проверки файлов, помещенных в карантин;
• Частично исправлена очистка заблокированных файлов на Windows;
• Исправления в формате Office Open XML (Office12):
o Неверное обнаружение эвристическим анализатором.
o Увеличен лимит внутренних объектов во избежание ошибок в корректных PPT-файлах.
Таким образом, версия 5.1 уделяет больше внимания «проблемным» форматам файлов и алгоритмам, использующимся в повседневной работе с компьютером. Мы стремимся превратить сканирование на наличие вредоносного ПО в процесс, минимально заметный пользователю.
Agnitum
Комментариев нет:
Отправить комментарий