حصلت كاسبرسكي لاب على براءة اختراع أسلوب اكتشاف البرمجيات الخبيثة التي يتم تمويهها من قبل الجذور الخفية – وهي برامج خاصة قادرة على تغيير نتائج أداء النظام. وتتضمن براءة اختراع رقم 8677492، الصادرة من مكتب براءات الاختراع والعلامات التجارية في الولايات المتحدة، على وصف عمل الحل الأمني المرفق بوحدة خاصة تكرر بعض الوظائف لنواة نظام التشغيل لذلك يوفر الحل الأمني معلومات موثوقة فيما إذا كان نظام التشغيل مصابا بالجذور الخفية أم لا.
ويستخدم المجرمون الالكترونيون الجذور الخفية لمنع الحلول الأمنية من اكتشاف البرمجيات الخفية مثل أحصنة طروادة. وللقيام بذلك تعمل الجذور الخفية كبرامج تشغيل، تتكامل مع نواة نظام التشغيل، تعترض الاتصالات الوظيفية للنظام من التطبيقات وتغيّر نتائج هذه العمليات، تحذف أي مؤشرات إلى الملفات والعمليات المتعلقة ببرنامج حصان طروادة. وهذا يعني أنه بالإمكان تمويه وجود الرموز الخبيثة – حيث تصبح البرامج الخبيثة غير مرئية للمستخدمين والتطبيقات الأخرى.
وتصف براءة الاختراع التي حصلت عليها كاسبرسكي لاب وحدة مساعدة تحاكي الوظائف الهامة لنواة نظام التشغيل مثل معالجة الملفات، مراقبة العمليات، قراءة السجلات وغيرها.
ويقوم التطبيق الأساسي للوحدة باكتشاف الكينونات المموهة من قبل الجذور الخفية. ويقوم الحل الأمني بذلك من خلال إرسال طلب الحصول على قائمة الملفات أو العمليات الجارية من خلال النواة الأساسية. كما ويرسل بشكل متزامن طلبا مماثلا عبر الوحدة المساعدة. وتساعد المقارنة بين البيانات المتحصل عليها في تحديد الكينونات غير المدرجة في القائمة العائدة من نواة نظام التشغيل.
في حال لم تتطابق القائمتين، فهذا يعني أن الجذر الخفي ينشط في النظام وباستطاعة الحل الأمني القيام بإجراءات لتعطيل الكينونات المريبة.
ويمكن للمستخدم أن يقوم بضبط خوارزمية استخدام النواة المساعدة. فعلى سبيل المثال يمكن إطلاق الفحص بحثا عن البرمجيات الخبيثة على الحاسوب المنزلي عندما تشير الأنظمة الأمنية الفرعية إلى السلوك المريب للكينون وهذا الإجراء ن شأنه أن يحافظ على موارد الحاسوب. في البيئات المؤسسية التي تتطلب مستوى أعلى من الأمن بالإمكان استخدام وظيفة المراقبة على أساس دائم.
وقال فياتشيسلاف روساكوف، خبير في البرمجيات الخبيثة بكاسبرسكي لاب ومؤلف براءة الاختراع: "إن تمويه البرمجيات الخبيثة بمساعدة الجذور الخفية يجعل من الصعب على الحلول المكافحة للبرمجيات الخبيثة اكتشاف التهديدات. هذه التقنية الجديدة توفر أسلوبا آمنا للتعرف على الكينونات المختبئة في النظام والتصدي لأكثر الهجمات خطورة".
وقد تم دمج هذا الأسلوب لاكتشاف الرموز الخبيثة التي تخفي وجودها في النظام في منتجات كاسبرسكي لاب للأفراد والمؤسسات بما فيها Kaspersky Internet Security، Kaspersky PURE و Kaspersky Endpoint Security for Business.
وتتمتع كاسبرسكي لاب بقائمة طويلة من براءات الاختراع. بواقع مارس 2014 حصلت كاسبرسكي لاب 197 براءة اختراع صدرت في الولايات المتحدة، روسيا، الاتحاد الأوروبي والصين. وهناك 248 طلب منح براءة اختراع يجري بحثها من قبل المنظمات المعنية.
