"Лаборатория Касперского" запатентовала в США технологию в области информационной безопасности, которая позволяет детектировать и удалять все, в том числе ранее неизвестные вредоносные программы, установленные на компьютер пользователя в результате одного и того же вирусного инцидента.

Современные вредоносные программы широко используют метод проникновения с помощью троянских технологий. Загрузившись и установившись в систему, такой троянец скачивает из Интернета множество других вредоносных программ, и в результате на компьютере пользователя накапливаются десятки различных вредоносных кодов и их компонентов. Часть из них могут оказаться новыми вредоносными программами, сигнатуры которых еще не занесены в антивирусные базы, либо неизвестными технологиями обхода детектирования. Поэтому такое вредоносное ПО не обнаруживается антивирусными средствами сразу же после заражения компьютера и может оставаться в системе еще некоторое время. Для решения задачи детектирования и удаления всех вредоносных программ и их компонентов, загруженных и установленных на компьютер пользователя в результате вирусного инцидента, и служит новая технология, разработанная Михаилом Павлющиком в "Лаборатории Касперского".

Патент на технологию "Лаборатории Касперского" зарегистрирован под номером 7 472 420 Патентным бюро США 30 декабря 2008 года. Описанные в патенте метод и его реализация позволяют при обнаружении только одного вредоносного компонента детектировать и удалять все вредоносные программы, появившиеся в вычислительной системе в рамках одного и того же вирусного инцидента, а также устанавливать источник инцидента и время его возникновения.

Новая технология основана на протоколировании системных событий, указывающих на возможность вирусного заражения (таких как изменение исполняемых файлов и/или запись в системном регистре), и последующем определении рамок вирусного инцидента по сделанным записям. Согласно данной технологии, при обнаружении вредоносного процесса или файла запускается анализатор предшествующих событий, что позволяет определять источник и время заражения. Затем система анализирует все дочерние события, порожденные найденным источником, что дает возможность детектировать все участвовавшие в инциденте вредоносные программы, в том числе ранее неизвестные. Технология также обеспечивает удаление вредоносных кодов или постановку их на карантин, прерывание вредоносных процессов, восстановление доверенных копий системных файлов из резервного хранилища. Информация о вредоносных программах, обнаруженных с помощью запатентованного метода, может быть мгновенно отправлена разработчикам антивирусов для ускорения ответа на новые угрозы.