Для чего вирусы применяют стелс-алгоритм

Обновлено: 18.04.2024

Первые вирусы не обладали такими возможностями и их легко было обнаружить при визуальном просмотре исполняемых файлов на зараженной машине. Применение даже простейших антивирусных средств немедленно останавливало распространение таких вирусов, и они перестали вызывать эпидемии.

Появление антивирусных программ привело к новом витку в развитии технологии написания вирусов, и появление вирусов - невидимок стало естественным шагом в таком развитии.

Вирусы, использующие приемы маскировки нельзя увидеть средствами операционной системы( например, нажав в VC или NC клавишу F3 ). Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удаляет свое тело из зараженного файла, а при закрытии файла заражает его опять. Это только один из возможных приемов маскировки, существуют и другие. Так же маскируются и загрузочные (бутовые) вирусы При попытке прочитать ВООТ (загрузочный) сектор они заменяют его оригинальным, не зараженным.

Hо способность к маскировке оказалась слабым местом стелс-вирусов, позволяющим легко обнаружить их наличие на машине. Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске, и несовпадение данных однозначно говорит о наличии вируса. То есть способность к маскировке демаскирует эти вирусы.

Использование СТЕЛС-алгоpитмов позволяет вирyсам полностью или частично скpыть себя в системе. Наиболее распростpанённым стелс-алгоpитмом является пеpехват запpосовOC на чтение/запись заpажённых объектов. Стелс-виpyсыпpи этом либо вpеменно лечат их, либо "подставляют" вместо себя незаpаженные yчастки инфоpмации. В слyчае макpо-виpyсов наиболее попyляpным способом является запpет вызовов меню пpосмотpа макpосов.

Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль устанавливается в момент запуска зараженной программы или при загрузке с диска, зараженного загрузочным вирусом.

Резидентный модуль вируса перехватывает обращения к дисковой подсистеме компьютера. Если операционная система или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль вируса может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова.

Примером стелс-вируса может служить Magdzie.1114. Это файловый вирус, заражающий выполнимые файлы в формате EXE. При запуске зараженной программы в оперативной памяти устанавливается вирусный резидентный модуль, который перехватывает обращения к файловой системе компьютера. Если операционная система запускает или открывает для чтения файл зараженной программы, вирус временно удаляет из нее свой код. Обратное заражение происходит, когда операционная система закрывает файл.

Вирус Magdzie проявляется, удаляя все файлы, название которых начинается с CHKLIST.

Ежегодно 27 мая этот вирус выводит на экран небольшой текст и движущийся графический узор.

Загрузочные вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, они заменяются настоящим содержимым загрузочного сектора.

В качестве загрузочного вируса, использующего для маскировки стелс-технологию, можно привести вирус July 29. Вирус распространяется, замещая главную загрузочную запись на жестких дисках и загрузочную запись на дискетах. Настоящие загрузочные секторы сохраняются. Когда программа пытается прочитать или записать данные в главную загрузочную запись жесткого диска или загрузочную запись дискеты, резидентный модуль вируса подставляет неинфицированный сектор.

Маскировка стелс-вирусов срабатывает только в том случае, если в оперативной памяти компьютера находится резидентный модуль вируса. Когда вы загружаете компьютер с системной дискеты, у вируса нет шансов получить управление и поэтому стелс-механизм не работает.

Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Содержание

Виды Stealth-вирусов

Файловый вирус перехватывает функции чтения/установки позиции в файле, чтения/записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера зараженных программ; перехватывает функции чтения/записи/отображения файла в память, чтобы скрыть факт изменения файла.

Макровирусы. Реализовать стелс-алгоритм в макровирусах достаточно просто, нужно запретить вызов меню File/Templase или Tools/Macro, достичь этого можно удалением пунктов меню из списка либо их подменой на макросы File Templase и Tools Macro. Также стелс-вирусами можно назвать макровирусы, которые свой основной код хранят не в самом макросе, а в других областях документа.

Способы борьбы со Stealth-вирусами

Для поиска stealth-вирусов рекомендуется осуществить загрузку системы с гибкого диска и провести удаление вирусных программ.

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным. Главное в борьбе с вирусами как можно чаще обновлять версии программы и вирусные базы.

См. также

Ссылки

Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.

Wikimedia Foundation . 2010 .

Полезное

Смотреть что такое "Стелс-вирус" в других словарях:

Стелс — (англ. Stealth): Стелс технология техника и технология изготовления летательных аппаратов, военных кораблей и ракет с целью снижения их заметности в радиолокационном, инфракрасном и других областях спектра обнаружения. Стелс вирус… … Википедия

Вирус (компьютерный) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Деструктивный вирус — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Компьютерный вирус — Начало исходного кода примитивного вируса для MS DOS на языке ассемблера … Википедия

Stealth — Стелс (англ. Stealth): Стелс технология техника и технология изготовления летательных аппаратов, военных кораблей и ракет с целью снижения их заметности в радиолокационном, инфракрасном и других областях спектра обнаружения. Стелс (самолёт)… … Википедия

Вирусы (компьютерные) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Компьютерные вирусы — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Полиморфизм компьютерных вирусов — У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

История компьютерных вирусов — Содержание 1 Первые самовоспроизводящиеся программы 2 Первые вирусы 2.1 ELK CLONER … Википедия

Deus Ex — Изображение с обложки игры Разработчик Ion Storm Inc. Издатель … Википедия

В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].

Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.

Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].

Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.

Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!

Кобаяси Исса (перевод В. Марковой)

Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.

Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).

При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!

Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.

Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.

Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.

Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

затруднение обнаружения вируса в оперативной памяти
затруднение трассировки и дизассемблирования вируса
маскировку процесса заражения
затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

Как же предлагается бороться с такой напастью?

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.

Вы помните, кто такие антивирусы-полифаги? :-)

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

программы-детекторы;
программы-доктора, или фаги;
программы-ревизоры;
программы-фильтры;
программы-вакцины, или иммунизаторы.

Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!

Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:

Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
Макровирусы.

Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.

Антивирусная правДА! рекомендует

Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.

Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!

Оцените выпуск

Сделайте репост

Нам важно ваше мнение

Комментарии пользователей

Sergey
19:36:22 2020-03-19

@alex-diesel, Ну кому-то интересна же история. Стелс-вирусы конечно прошлое, но ностальгия одновременно
А по поводу актуализации всякой нормативки - я то с вами согласен, но увы все время изобретаются все новые и новые искусственные документы

@Вячeслaв, вот именно! Ну зачем пользователю такие формальные подробности и классификации угроз. Если они даже профессионалами воспринимаются лишь как досадные бюрократические атавизмы.

А на счет больше знать лучше чем меньше (а свобода лучше, чем несвобода) так дьявол, как водится, в деталях.
Объем доступной информации возрос непомерно. банально увеличивать формальные познания индивидуума - безперспективно. Перспективно имхо разрабатывать новые методики систематизации знаний, структурирования, отсева избыточного.
Я искренне поддерживаю и даже немного восхищаюсь усилиями команды DrWeb по развитию подобных образовательных, развивающих и "популяризующих" проектов. тем обиднее мне представляются некоторые мелкие недостатки. Прошу пардону ))

@alex-diesel, все даже интереснее. Если посмотреть документы по оценке рисков, то согласно им нужно оценить риск от каждого вида угроз по отдельности - вирусов, троянов, червей и тд по списку. Никакого смысла это не имеет, так как оценивай-не оценивай, какие уровни риска не считай - все равно придется ставить антивирус, так как его установка по большому счету обязательна. Но низзя - нужно оформить документы по правилам

А знания о древних вещах. Вы знаете, лучше знать больше, чем меньше. К сожалению люди, которые не хотят знать больше и думают, что ни лучше нас знают - рано или поздно оказываются в техподдержке

любопытная ситуация с этим выпуском. Вроде содержательно, подробно и интересно. Много условно новой информации и занятной терминологии. Но вот ей богу, каков практический прок от знания пользователем основных черт "стелс-вирусов" - абсолютно не ясно.

@Littlefish,
безусловно не все выпуски равноценны. но мне кажется, что лучше будет если используя механизм виджет Добавить в библиотеку или сервис Избранное каждый читатель после прочтения будет решать сам что ему важно. Выпусков в такой рубрике - если бы мы ее сделали - был бы огромен.

Littlefish
01:14:13 2017-06-20

@Людмила, @Вячeслaв, Возможно ли формирование ещё одной рубрики выпусков - выпуски рекомендованные к прочтению в первую очередь, т.е. те выпуски в которых описываются наиболее частые, распространённые и серьёзные угрозы для пользователей недавно/впервые зарегистрировавшихся, для начинающих пользователей. Т.е. на что необходимо обратить внимание в первую очередь для повышения грамотности в отношении компьютерной безопасности. Всё-таки выпусков немало и глаза разбегаются, что же почитать сначала, а что позднее, особенно для новичков. Как вы на это смотрите?

Вячeслaв
10:40:22 2017-06-19

@Littlefish, более того, показываемая в менеджере процессов используемая память не отражает истинного количества используемых ресурсов. Скажем антивирус может использовать память, запрашивая ее на уровне драйверов - и эти используемые ресурсы не отображаются никак.
Пожелание о добавлении в наши программы утилит различного назначения есть, но руки до этого не доходят

Вячeслaв
10:34:45 2017-06-19

@Littlefish, карантин это достаточно просто для Windows и очень сложно для Linux, Mac и Андроид. Идея проста - перемешаем файл и не даем доступа к ним никому. Для Windows защиту от доступа осуществляет система самозащиты. Та проблема только в том, что защиту нужно сделать тогда, когда самозащита отключена. Поэтому файлы скрываются.
Для Юникс-подобных ОС проблема в невозможности создания системы самозащиты. Там к сожалению изолировать карантин очень сложно

Littlefish
22:12:53 2017-06-18

@Людмила, @Вячeслaв, появилась также идея для будущего выпуска антивирусной правды, для раздела кухня - о принципах работы карантина. Прошу прощения, если уже писали об этом, стараюсь постепенно читать предыдущие выпуски антивирусной правды, но, чтобы прочитать все предыдущие выпуски, мне потребуется какое-то время. Хотя повторение материала ещё никогда никому не вредило, так что даже если и был уже выпуск про карантин, можно сделать ещё один, дополненный свежим взглядом и данными.

Littlefish
21:52:02 2017-06-18

ka_s
23:40:13 2017-05-16

В свое время загрузочные стелс вирусы доставили много хлопот. Особенно неуютно чувствовали себя те, у кого не было "лечащих" загрузочных дискет.

Читайте также: