Zanim potencjalnie szkodliwa próbka zostanie zakwalifikowana do testów, jeden z elementów systemu testującego sprawdza, czy złośliwe oprogramowanie na pewno wprowadza do Windows 10 niepożądane zmiany. W tym celu każdy wirus jest analizowany przez 15 minut. Wykluczony z testów czynnik ludzki nie daje możliwości upewnienia się, że np. malware po 60 sekundach zakończy swoją aktywność. Musimy więc założyć pewien próg czasowy, po którym powinniśmy przerwać analizę.

Zdajemy sobie sprawę, że istnieje takie szkodliwe oprogramowanie które, zanim zostanie aktywowane, może opóźniać swoje uruchomienie nawet do kilkunastu godzin. Może też nasłuchiwać połączenia z serwerem C&C na efemerycznym porcie. Zdarzały się także sytuacje, kiedy złośliwy program został zaprogramowany do infekowania konkretnej aplikacji lub czekał na otworzenie strony internetowej. Z tego powodu dołożyliśmy wszelkich starań, aby nasze testy były maksymalnie zbliżone do rzeczywistości, a próbki, które są „niepewne”, aby nie były dołączane do testowej bazy wirusów.

Windows Event
Przykładowe ustawienia polityki audytu. Windows 10 umożliwia wgląd w bardzo szczegółowe informacje o zdarzeniach systemowych.

Szczegółowe logi z aktywności szkodliwego oprogramowania przekazywane są do systemu testującego, który szuka pasujących wskaźników odpowiadających zablokowaniu wirusa przez produkt ochronny. Wyszukiwane są również potencjalnie niebezpieczne wskaźniki, które wskazują na zainfekowanie systemu Windows 10. Dodatkowo wykrycie złośliwego oprogramowania jest weryfikowane na podstawie występowania w logach potencjalnie groźnych zmian, które zostały wprowadzone przez próbkę do systemu.

ransomware Windows Event
Przykładowe zebrane logi z aktywności ransomware.

Próba zmodyfikowania plików w lokalizacji:

C:\Users\%USERNAME%\Desktop\Pliki

Próba uruchomienia programu z lokalizacji:

C:\Users\%USERNAME%\AppData\Local\Temp

Sprawdzanie urządzeń w maszynie wirtualnej:

HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0

Po przeanalizowaniu każdej złośliwej próbki i pozyskaniu logów opracowane algorytmy podejmują decyzję, czy konkretna próbka jest bez wątpienia szkodliwa. Cząstkowe informacje z każdej analizy publikujemy na stronie internetowej w przystępnej formie dla użytkowników oraz producentów. Szczegółowe dane przekazywane są producentom.

Możemy ze stuprocentową dokładnością ustalić, czy produkt ochronny zatrzymał szkodliwe oprogramowanie sygnaturą lub proaktywnymi składnikami ochrony. Analizowanie logów jest bardzo czasochłonne, dlatego opracowaliśmy algorytmy, które wykonują całą żmudną pracę za człowieka.

Przeniesienie wirusa do kwarantanny:

C:\ProgramData\Bitdefender\Desktop\Quarantine

Zaktualizowanie dziennika zdarzeń:

C:\ProgramData\Bitdefender\Desktop\Events\events.db
Bitdefender raportu z testu
Przykładowy raport z aktywności Bitdefender Total Security.

Zarejestrowane logi m.in. o zmianach w strukturze plików i katalogów, rejestrze systemowym, harmonogramie zadań, logowaniu do systemu i udziałów sieciowych, a także zmiany w komunikacji sieciowej procesów, dostarczają niezbędnych informacji o modyfikacji dokonanych w systemie przez szkodliwe oprogramowanie. Na przykład, jeśli zainfekowany dokument Word zawierający kilka skryptów (visual basic, cmd, powershell) zostanie uruchomiony, po czym nastąpi akcja pobrania pliku ze strony internetowej i zapisania wirusa w %TEMP%, to włączona inspekcja poszczególnych elementów systemu operacyjnego zapisze takie informacje do logu. W rezultacie każda nawet najmniejsza modyfikacja dokonana przez złośliwe oprogramowanie zostanie zarejestrowana. Niezależnie od tego, czy będzie to keylogger, backdoor, rootkit, trojan, makrowirus czy ransomware.