La cybercriminalité fait un usage intensif de chevaux de Troie pour s’introduire dans le PC des utilisateurs. Une fois installé dans le système, un cheval de Troie télécharge de nombreux autres codes malicieux sur Internet. C’est ainsi que le PC d’un utilisateur se retrouve infesté par des douzaines de programmes et de composants malveillants, tous différents. Pour certains, il s’agit de nouveaux codes dont les signatures n’ont pas encore été ajoutées à la base antivirale ou dont les technologies encore inconnues leur permettent d’échapper à la détection. Ce genre de malware peut rester inaperçu des solutions antivirales et mener à bien des opérations nuisibles ou destructrices dans un ordinateur infecté.

Un seul incident viral initial peut entraîner le téléchargement de nombreux programmes malveillants encore inconnus des suites de sécurité antivirales. Ainsi, il suffit d’une seule effraction pour que la sécurité de l’ordinateur victime soit compromise, avant que tous les programmes malveillants et tous les processus cachés soient identifiés. Cette faiblesse peut être enfin corrigée grâce à la nouvelle technologie mise au point chez Kaspersky Lab par Mikhail Pavlyushchik. Cette technologie a reçu le brevet numéro 7472420 de l’US Patent and Trademark Office (Office des brevets et des marques des États-Unis) le 30 décembre 2008. Le brevet décrit la méthode utilisée pour détecter et supprimer tous les programmes malveillants installés dans l’ordinateur d’un utilisateur à la suite d’un premier incident viral, ainsi que pour en déterminer l’origine et le moment.

La nouvelle technologie développée par Kaspersky Lab procède par consignation d’événements système, qui signalent la possible présence d’une infection virale (par exemple, la modification d’un fichier exécutable ou d’une entrée du registre dans le système) pour, à partir des enregistrements obtenus, déterminer l’extension d’un incident viral. Avec le procédé breveté, dès qu’un processus ou un fichier malveillant sont détectés, un module chargé d’examiner les événements antérieurs à l’incident est exécuté afin de déterminer l’origine et la chronologie de l’infection. Le module analyse ensuite tous les événements subordonnés au premier, ce qui lui permet d’identifier tous les programmes malveillants qui ont pris part à l’incident, y compris ceux qui étaient restés jusqu’alors inconnus.

En plus de détecter les programmes malveillants, cette nouvelle technologie est capable de les supprimer ou de les placer en quarantaine, d’interrompre leurs processus ou de restaurer les fichiers système à partir d’une copie de sauvegarde fiable. Elle permet de transmettre immédiatement aux fournisseurs de solutions antivirales les informations nécessaires pour réduire leurs temps de réaction face à ces nouvelles menaces. Déterminer l’origine et le contexte d’une infection est important pour anticiper de nouveaux incidents similaires, par exemple, pour identifier et bloquer des sites infectés, détecter puis réparer des vulnérabilités dans les logiciels, etc. En outre, la reconstitution complète du scénario et la possibilité de documenter l’incident permettront d’apporter des pièces à charge dans une procédure pénale à l’encontre des responsables d’actes cybercriminels.