WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2007004205) A METHOD AND SYSTEM FOR DETECTING A MALICIOUS PACKED EXECUTABLE
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2007/004205    International Application No.:    PCT/IL2006/000646
Publication Date: 11.01.2007 International Filing Date: 05.06.2006
IPC:
G08B 23/00 (2006.01), G06F 21/22 (2006.01)
Applicants: ALADDIN KNOWLEDGE SYSTEMS LTD. [IL/IL]; 15 Beit Oved St., 61110 Tel Aviv (IL)
Inventors: ZAMIR, SHAY; (IL).
MARGALIT, Yanki; (IL).
MARGALIT, Dany; (IL)
Priority Data:
11/171,393 01.07.2005 US
Title (EN) A METHOD AND SYSTEM FOR DETECTING A MALICIOUS PACKED EXECUTABLE
(FR) PROCEDE ET SYSTEME DESTINES A LA DETECTION D'UN FICHIER EXECUTABLE COMPRESSE MALVEILLANT
Abstract: front page image
(EN)The present invention is directed to a method for indicating if an executable file is malicious, the method comprising the steps of: indicating if the executable file is packed; and if the executable file is packed, determining the executable file as malicious if the executable file satisfies a maliciousness criterion, such as a size less than 200 KB. According to a preferred embodiment of the invention, indicating if the executable file is packed is carried out by the steps of: for at least one section of the file which is not a resource section: compressing at least a part of the section; and indicating that the executable is packed if the compression ratio as a result of the compressing is less than a threshold (e.g., about 10 percent).
(FR)La présente invention concerne un procédé permettant d'indiquer si un fichier exécutable est malveillant. Ce procédé consiste à indiquer si le fichier exécutable est compressé, puis, si ce fichier est compressé et qu'il répond à des critères de malveillance, telles qu'une taille inférieure à 200 KB, à désigner le fichier exécutable comme fichier malveillant. Dans le mode de réalisation préféré de l'invention, pour indiquer si le fichier exécutable est compressé, le procédé consiste, pour au moins une section du fichier qui ne constitue pas une section de ressource, à compresser au moins une partie de la section, puis, si le taux de compression suite à l'étape de compression précédente est inférieur à un seuil (de 10 % environ, par exemple), à indiquer que le fichier exécutable est compressé.
Designated States: AE, AG, AL, AM, AT, AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, CN, CO, CR, CU, CZ, DE, DK, DM, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, KM, KN, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, LY, MA, MD, MG, MK, MN, MW, MX, MZ, NA, NG, NI, NO, NZ, OM, PG, PH, PL, PT, RO, RS, RU, SC, SD, SE, SG, SK, SL, SM, SY, TJ, TM, TN, TR, TT, TZ, UA, UG, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM)
European Patent Office (AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IS, IT, LT, LU, LV, MC, NL, PL, PT, RO, SE, SI, SK, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)