Как называется вирус который полностью или частично скрывает свое присутствие в системе

Обновлено: 25.04.2024

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Тем не менее хочу предложить вам одну из классификаций:

* хочу пояснить данную классификацию определениями некоторых неизвестных многим терминов!

Файловый вирус — компьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.
Загрузочный вирус — компьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.
Скриптовые вирусы - такие виды компьютерных вирусов достаточно просты для написания и распространяются в основном посредством электронной почты. Скриптовые вирусы используют скриптовые языки для работы чтобы добавлять себя к новым созданным скриптам или распространяться через функции операционной сети. Нередко заражение происходит по e-mail или в результате обмена файлами между пользователями. Червь это программа, которая размножается самостоятельно, но которая инфицирует при этом другие программы. Черви при размножении не могут стать частью других программ, что отличает их от обычных видов компьютерных вирусов.
Макровирус — это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.
DOS (дисковая операционная система, ДОС) — семейство операционных систем для персональных компьютеров, ориентированных на использование дисковых накопителей, таких как жёсткий диск и дискета.
Microsoft Windows — семейство проприетарных операционных систем корпорации Microsoft, ориентированных на применении графического интерфейса при управлении. Изначально Windows была всего лишь графической надстройкой для MS-DOS.
UNIX — семейство переносимых, многозадачных и многопользовательских операционных систем.
Полиморфизм компьютерного вируса — форма, внешний вид) — специальная техника, используемая авторами вредоносного программного обеспечения для снижения уровня детектирования вредоносной программы классическими антивирусными продуктами.
Стелс-вирус — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Руткит — набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), для обеспечения:

маскировки объектов (процессов, файлов, директорий, драйверов)
контроля (событий происходящих в системе)
сбора данных (параметров системы)

Язык ассемблера — машинно-ориентированный язык низкого уровня с командами, обычно соответствующими командам машины, который может обеспечить дополнительные возможности вроде макрокоманд; автокод, расширенный конструкциями языков программирования высокого уровня, такими как выражения, макрокоманды, средства обеспечения модульности программ.
Высокоуровневый язык программирования — язык программирования, разработанный для быстроты и удобства использования программистом. Основная черта высокоуровневых языков — это абстракция, то есть введение смысловых конструкций, кратко описывающих такие структуры данных и операции над ними, описания которых на машинном коде (или другом низкоуровневом языке программирования) очень длинны и сложны для понимания.
Сценарный язык — высокоуровневый язык программирования для написания сценариев — кратких описаний действий, выполняемых системой. Разница между программами и сценариями довольно размыта. Сценарий — это программа, имеющая дело с готовыми программными компонентами.
Бэкдор — программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе.
Кейлогер— это программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя - нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т.д.
Spyware (шпионское программное обеспечение) — программа, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.
Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или не одобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Содержание

Виды Stealth-вирусов

Файловый вирус перехватывает функции чтения/установки позиции в файле, чтения/записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера зараженных программ; перехватывает функции чтения/записи/отображения файла в память, чтобы скрыть факт изменения файла.

Макровирусы. Реализовать стелс-алгоритм в макровирусах достаточно просто, нужно запретить вызов меню File/Templase или Tools/Macro, достичь этого можно удалением пунктов меню из списка либо их подменой на макросы File Templase и Tools Macro. Также стелс-вирусами можно назвать макровирусы, которые свой основной код хранят не в самом макросе, а в других областях документа.

Способы борьбы со Stealth-вирусами

Для поиска stealth-вирусов рекомендуется осуществить загрузку системы с гибкого диска и провести удаление вирусных программ.

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным. Главное в борьбе с вирусами как можно чаще обновлять версии программы и вирусные базы.

См. также

Ссылки

Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.

Wikimedia Foundation . 2010 .

Полезное

Смотреть что такое "Стелс-вирус" в других словарях:

Стелс — (англ. Stealth): Стелс технология техника и технология изготовления летательных аппаратов, военных кораблей и ракет с целью снижения их заметности в радиолокационном, инфракрасном и других областях спектра обнаружения. Стелс вирус… … Википедия

Вирус (компьютерный) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Деструктивный вирус — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Компьютерный вирус — Начало исходного кода примитивного вируса для MS DOS на языке ассемблера … Википедия

Stealth — Стелс (англ. Stealth): Стелс технология техника и технология изготовления летательных аппаратов, военных кораблей и ракет с целью снижения их заметности в радиолокационном, инфракрасном и других областях спектра обнаружения. Стелс (самолёт)… … Википедия

Вирусы (компьютерные) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Компьютерные вирусы — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Полиморфизм компьютерных вирусов — У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

История компьютерных вирусов — Содержание 1 Первые самовоспроизводящиеся программы 2 Первые вирусы 2.1 ELK CLONER … Википедия

Deus Ex — Изображение с обложки игры Разработчик Ion Storm Inc. Издатель … Википедия

Стэлс-вирусы относятся к категории маскирующихся вирусов, которых очень сложно обнаружить.

В основе работы Stealth-вирусов лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. При возникновении прерывания управление передается специальной программе – обработчику прерывания. Эта программа отвечает за ввод и вывод информации в/из периферийного устройства.

В такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

В случае, если с диска читается зараженная программа, вирус “выкусывает” собственный код (обычно код не буквально ”выкусывается”, а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения “чистый” код. Таким образом, до тех пор пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно. Схожий механизм маскировки используется и загрузочными вирусами.

Известны стелс-вирусы всех типов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.

Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Основная идея заключается в том, что несмотря на то, что файл заражен, в оперативную память передаются данные незараженного файла (предварительно вылеченного самим вирусом).

Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.

Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro. Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.

К наиболее известным Stealth-вирусам можно отнести такие вирусы, как Exploit.Macro.Stealth, Exploit.MSWord.Stealth, Virus.DOS.Stealth.551.

В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с win32 антивирусными приложениями запустить их не удастся).

Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100-процентной точностью будет обнаружен и удален из памяти компьютера, а потом – и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом – как можно чаще обновлять версии программы и вирусные базы. Для удобства пользователей базы вынесены в отдельный модуль, и, например, пользователи AVP могут обновлять эти базы ежедневно при помощи Интернета.

Компьютерные вирусы — это специально написанная небольшая по размерам программа, которая может внедрять себя в исходный код других программ (т.е. заражать их) или в документы специального формата, содержащие макрокоманды, такие как Word , Excel , а также выполнять различные нежелательные действия на компьютере.

Вирусная программа способна создавать свои копии (необязательно совпадающие с оригиналом), которые распространяются в различных ресурсах компьютерных систем, сетей и т.д. Многие вирусы вредят данным на заражённых компьютерах, хотя иногда их единственной целью является лишь заражение как можно большего количества компьютеров.

Также вирусы могут выполнять различные нежелательные действия не всегда, а только при выполнении определенных условий.

1.2 Классификация компьютерных вирусов

Условно классифицировать вирусы по следующим признакам:

по среде обитания вируса
по способу заражения среды обитания
по деструктивным возможностям
по особенностям алгоритма вируса.

1. По среде обитания вируса:

Сетевые – распространяются по компьютерной сети локальной или глобальной – сетевые черви.

Файловые – внедряются в выполняемые файлы.

Загрузочные – внедряются в загрузочный сектор диска ( Boot -сектор)

Существуют сочетания – файлово-загрузочные вирусы

2. По способу заражения среды обитания:

Резидентный – при инфицировании компьютера оставляет в оперативной части свою часть. При обращении оперативной памяти к другим программам заражают и их. Резидентные вирусы находятся в оперативной памяти и являются активными вплоть до выключения компьютера.

Нерезидентный – не заражают память компьютера и являются активными ограниченное время.

3. По деструктивным возможностям

Безвредные – не влияют на работу компьютера, кроме уменьшения свободной памяти на диске в результате своего распространения.

Неопасные – уменьшают кол-во свободного места на диске и ограничиваются графическими, звуковыми и пр. эффектами.

Опасные – приводят с серьезным сбоям в работе компьютера

Очень опасные – могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

4. По особенностям алгоритма вируса

Студенческие – примитивные, содержат большое кол-во ошибок.

Компаньон-вирусы – вирусы не изменяющие файлы. Алгоритм работы состоит в том, что они создают для EXE файлов файлы-спутники, имеющие то же самое имя, но с расширением COM . Таким образом, при запуске приложения сначала запустится файл с расширение COM , т.е. вирус, который затем запустит и EXE -файл. Данными способом самозапуска пользуются и троянские программы.

Вирусы-черви – проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.

Паразитические – все вирусы (кроме червей и компаньонов), которые при распространении своих копий обязательно изменяю содержимое дисковых секторов или файлов.

Полиморфик-вирусы - не имеют ни одного постоянного участка кода, труднообнаруживаемые,

Макровирусы – пишутся не в машинных кодах, а на WordBasic , живут в документах Word , переписывают себя в Normal . dot

1.3 Признаки заражения

Есть ряд признаков, свидетельствующих о заражении компьютера:

1.4. Антивирусные программы (служебные программы)

Антивирусная программа ( антивирус ) — программа для обнаружения и, возможно, лечения программ, заражённых компьютерным вирусом, а также, возможно, для предотвращения заражения файла вирусом.

Первые, наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.

К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал — 100%-е детектирование) и алгоритмов лечения заражённых файлов.

Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

Различают следующие виды антивирусных программ:

Детекторы – сканируют файлы для поиска известных вирусов, соответствующих определению в словаре вирусов

Доктора – не только находят зараженные вирусом файлы, но и удаляют из файла тело программы-вируса

Ревизоры – самый надежный способ защиты. Ревизоры запоминают исходное состояние программ, каталогов и системных областей , а затем периодически сравнивают текущее состояние с исходным.

Доктора-ревизоры

Фильтры – небольшие резидентные программы, предназначенные для обнаружения подозрительного поведения любой из программ, похожего на поведение заражённой программы. В отличие от метода соответствия определению вируса в словаре, метод подозрительного поведения даёт защиту от совершенно новых вирусов, которых ещё нет ни в одном словаре вирусов. Однако следует учитывать, что программы, построенные на этом методе, выдают также большое количество ошибочных предупреждений, что делает пользователя мало восприимчивым ко всем предупреждениям.

Подозрительными действиями являются:

попытки коррекции файлов с расширениями СОМ и ЕХЕ;
изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы.

Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.

Вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами (в последнее время этот метод применяется все реже - вакцинировать можно только от конкретного вируса, причем некоторые антивирусы такую вакцинацию вполне могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле исчезающе мало). Как известно, ни один из данных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и их желательно использовать в связке с другими пакетами. Вообще, выбор только одного, "лучшего", антивируса крайне ошибочен.

Методы Борьбы с компьютерными вирусами

не загружать и не запускать на выполнение неизвестные программы из Интернета)

Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

Информационная безопасность (ИБ) и ее составляющие

Государственная структура органов, обеспечивающая информационную безопасность.

Контроль и разработка нормативной базы.

В согласии с конституцией РФ – во главе стоит президент. Все обязанности возложены именно на него. Президент способен остановить любой закон. Президента почти нельзя уволить или отстранить от должности.

Государство

СВР – Служба Внешней Разведки
МО – Министерство обороны
ГТК – Гос Тех Комиссия
ФСО – Федеральная Служба Охраны
МВК – ведомственная комиссия по Гос тайне

В марте 2004г. ФАПСИ было ликвидировано. Задачи ФАПСИ распределились в ФСБ и ФСО

Угроза информационной безопасности государства

Угроза – это опасность, потенциально или реально существующая, совершения какого-либо действия или бездействия, направленного против объекта защиты информации или информационных ресурсов и наносящих ущерб этому объекту или его пользователю или владельцу.

Угрозы можно подразделить на два вида:

Классификация угроз:

хищение или копирование
уничтожение информации
искажение информации (искажение, нарушение целостности)
введение ложной информации
отрицание подлинности представляемой информации
нарушение доступности

Все угрозы приводят к нарушению

Источники угроз:

антропогенные
техногенные
стихийные носители угроз безопасности

1. Антропогенные - это субъекты, могут быть случайными и умышленными. Так же они могут быть: внешними и внутренними.

Внешние: шпионаж, потенциальные преступники, конкуренция, криминальные структуры, государство (силовые ведомства, финансовые, административные ведомства), СМИ, потенциальные преступники связанные с информационными технологиями(хакеры, поставщики телекоммуникационных услуг), бывшие сотрудники, недобросовестные партнеры вашего бизнеса.

Внутренние: сотрудники (основной персонал) всех служб, вспомогательный персонал (охрана, уборка), технический персонал (эксплуатационные службы: свет, вода и т.д.), представители службы безопасности(ЗИ, охрана и т.д.).

2. Техногенные :

Внешние : каналы связи (телекоммуникационные сети), недоброкачественные внешние поставки аппаратных средств, инженерно технические сети (все виды).

Внутренние : использование не сертифицированного и не лицензионного хранения, передачи и обработки информации; не качественные технические средства контроля за инженерно техническими сетями; использование не качественных технических средств любого вида; техногенные средства охраны и сигнализации.

3. Стихийные угрозы

Стихийные угрозы – это обстоятельство, составляющее непреодолимую силу, которые носят объективный и абсолютный характер и распространяются на все субъекты и объекты информационных отношений.

Это внешние источники угроз:

Землетрясение
Наводнение
Пожары
Сложные метеокатаклизмы
Непредвиденные форс-мажорные обстоятельства (кризис в экономике, политике; войны)
Различные необъяснимые явления (на данный момент происхождения случая)
Потоки электромагнитных частиц, солнечный свет и т.д.

Уязвимость

Уязвимость – это присущие объектам информационных отношений, причины, приводящие к нарушению информационной безопасности на конкретном объекте, и обусловлено недостатками процессов функционирование объектов информатизация свойствами автоматизированных систем, применяемые программно-аппаратными средствами и условиями эксплуатации.

Классификация:

1. Объективные - будем относить те группы или классы, которые связаны с объектами:

архитектурные построения,
телекоммуникация,
системы автоматизирования.

Физические поля : электромагнитные излучения, электрические наводки в цепи автоматизированных и технических средств, звуковые или акусто-вибрационные воздействия (для ч-ка инфразвук).

Активируемые : аппаратные закладки, программные закладки.

Конструктивные : старый телевизор (полоса пропускания была широкой).

Особенности самого защищаемого объекта: расположение объекта, взаимосвязь объекта с внешними источниками и объектом информации.

2. Субъективные - будем относить те группы или классы, которые связаны с субъектами:

Бывают с лучайные и преднамеренные .

Случайные : связаны с ошибками в действиях субъекта, т.е. это при создании и использовании программных средств при управлении автоматизированными и телекоммуникационными системами, при использовании и эксплуатации охранных контролирующих технических средств.

Преднамеренные : нарушение инструкций при эксплуатации автоматизированных телекоммуникационных систем, технических средств, нарушение режима охраны защиты и доступа информационных ресурсов с-м и техническим средствам, нарушение режима использования информации: обработка обмен информации; хранение и уничтожение носителей информации. Для уничтожения существуют спец. машины.

3. Случайные уязвимости - связаны с окружающей средой.

Основная защита – разработка организационных мер.

а) сбой и отказ :

- отказы и неисправности технических средств, обеспечивающих работоспособность средств обработки, хранения и передачи информации;

- отказы и неисправности технических средств, обеспечивает охрану и контроль доступа к защищаемым объектам информации;

- старение и размагничивание носителя информации;

- сбои программного обеспечения;

- сбои в энергообеспечении системы обработки, хранения и передачи информации.

б) Повреждения :

повреждения самого защищаемого объекта:

- связанные с пожаром, неправильной закладкой фундамента, т.е. строительство ненадлежащее;

- связанные с всевозможными коммуникациями, обеспечивающих жизнедеятельность защищаемого объекта.

Ущерб

Последствия угрозы – это возможные результаты реализации угрозы, при взаимодействии источника угрозы через имеющееся уязвимости.

Угроза всегда подразумевает ущерб!

(Бывают моральные и материальные ущербы).

- Материальный ущерб от разглашения конфиденциальной информации,

- моральный и материальный ущерб от дезорганизации деятельности организации.

- Материальный ущерб от невозможности выполнения взятых на себя обязательств перед третьей стороной (под третьей стороной подразумевают все виды собственности, объекты и субъекты; может быть, как юридическое так и физическое лицо).

- Моральный и материальный ущерб, связанный с необычностью восстановления нарушенных защищенных информационных ресурсов и систем.

Информационная безопасность

Информационная безопасность – под ней будем понимать защищенность информации, информационных ресурсов и с-м от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений.

Защита Информации - это комплекс мероприятий организационно-правовых и технических, направленных на обеспечение информационной безопасности.

Цели :

1) При информационных отношениях информация должна быть доступна, т.е. цель - доступность

2) Целостность информации, информационных ресурсов и информационных систем

Доступность – это возможность за приемлемое время и при определенных условиях получить требуемую информационную услугу.

Целостность – непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Целостность бывает:

Статическая целостность – это неизменность информации, информационных ресурсов и систем со временем, но она немного может меняться.

Динамическая целостность – корректное выполнение операции в системах.

Конфиденциальность – защита от несанкционированного доступа и разглашении информации.

Основные способы и методы Защиты Информации в каналах связи утечки информации:

Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!

Кобаяси Исса (перевод В. Марковой)

Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.

Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).

При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!

Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.

Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.

Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.

Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

затруднение обнаружения вируса в оперативной памяти
затруднение трассировки и дизассемблирования вируса
маскировку процесса заражения
затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

Как же предлагается бороться с такой напастью?

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.

Вы помните, кто такие антивирусы-полифаги? :-)

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

программы-детекторы;
программы-доктора, или фаги;
программы-ревизоры;
программы-фильтры;
программы-вакцины, или иммунизаторы.

Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!

Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:

Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
Макровирусы.

Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.

Антивирусная правДА! рекомендует

Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.

Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!

Оцените выпуск

Сделайте репост

Нам важно ваше мнение

Комментарии пользователей

Sergey
19:36:22 2020-03-19

@alex-diesel, Ну кому-то интересна же история. Стелс-вирусы конечно прошлое, но ностальгия одновременно
А по поводу актуализации всякой нормативки - я то с вами согласен, но увы все время изобретаются все новые и новые искусственные документы

@Вячeслaв, вот именно! Ну зачем пользователю такие формальные подробности и классификации угроз. Если они даже профессионалами воспринимаются лишь как досадные бюрократические атавизмы.

А на счет больше знать лучше чем меньше (а свобода лучше, чем несвобода) так дьявол, как водится, в деталях.
Объем доступной информации возрос непомерно. банально увеличивать формальные познания индивидуума - безперспективно. Перспективно имхо разрабатывать новые методики систематизации знаний, структурирования, отсева избыточного.
Я искренне поддерживаю и даже немного восхищаюсь усилиями команды DrWeb по развитию подобных образовательных, развивающих и "популяризующих" проектов. тем обиднее мне представляются некоторые мелкие недостатки. Прошу пардону ))

@alex-diesel, все даже интереснее. Если посмотреть документы по оценке рисков, то согласно им нужно оценить риск от каждого вида угроз по отдельности - вирусов, троянов, червей и тд по списку. Никакого смысла это не имеет, так как оценивай-не оценивай, какие уровни риска не считай - все равно придется ставить антивирус, так как его установка по большому счету обязательна. Но низзя - нужно оформить документы по правилам

А знания о древних вещах. Вы знаете, лучше знать больше, чем меньше. К сожалению люди, которые не хотят знать больше и думают, что ни лучше нас знают - рано или поздно оказываются в техподдержке

любопытная ситуация с этим выпуском. Вроде содержательно, подробно и интересно. Много условно новой информации и занятной терминологии. Но вот ей богу, каков практический прок от знания пользователем основных черт "стелс-вирусов" - абсолютно не ясно.

@Littlefish,
безусловно не все выпуски равноценны. но мне кажется, что лучше будет если используя механизм виджет Добавить в библиотеку или сервис Избранное каждый читатель после прочтения будет решать сам что ему важно. Выпусков в такой рубрике - если бы мы ее сделали - был бы огромен.

Littlefish
01:14:13 2017-06-20

@Людмила, @Вячeслaв, Возможно ли формирование ещё одной рубрики выпусков - выпуски рекомендованные к прочтению в первую очередь, т.е. те выпуски в которых описываются наиболее частые, распространённые и серьёзные угрозы для пользователей недавно/впервые зарегистрировавшихся, для начинающих пользователей. Т.е. на что необходимо обратить внимание в первую очередь для повышения грамотности в отношении компьютерной безопасности. Всё-таки выпусков немало и глаза разбегаются, что же почитать сначала, а что позднее, особенно для новичков. Как вы на это смотрите?

Вячeслaв
10:40:22 2017-06-19

@Littlefish, более того, показываемая в менеджере процессов используемая память не отражает истинного количества используемых ресурсов. Скажем антивирус может использовать память, запрашивая ее на уровне драйверов - и эти используемые ресурсы не отображаются никак.
Пожелание о добавлении в наши программы утилит различного назначения есть, но руки до этого не доходят

Вячeслaв
10:34:45 2017-06-19

@Littlefish, карантин это достаточно просто для Windows и очень сложно для Linux, Mac и Андроид. Идея проста - перемешаем файл и не даем доступа к ним никому. Для Windows защиту от доступа осуществляет система самозащиты. Та проблема только в том, что защиту нужно сделать тогда, когда самозащита отключена. Поэтому файлы скрываются.
Для Юникс-подобных ОС проблема в невозможности создания системы самозащиты. Там к сожалению изолировать карантин очень сложно

Littlefish
22:12:53 2017-06-18

@Людмила, @Вячeслaв, появилась также идея для будущего выпуска антивирусной правды, для раздела кухня - о принципах работы карантина. Прошу прощения, если уже писали об этом, стараюсь постепенно читать предыдущие выпуски антивирусной правды, но, чтобы прочитать все предыдущие выпуски, мне потребуется какое-то время. Хотя повторение материала ещё никогда никому не вредило, так что даже если и был уже выпуск про карантин, можно сделать ещё один, дополненный свежим взглядом и данными.

Littlefish
21:52:02 2017-06-18

ka_s
23:40:13 2017-05-16

В свое время загрузочные стелс вирусы доставили много хлопот. Особенно неуютно чувствовали себя те, у кого не было "лечащих" загрузочных дискет.

Читайте также: