Вирусы невидимки что это такое

Обновлено: 06.05.2024

В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].

Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.

Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].

Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.

Стэлс-вирусы относятся к категории маскирующихся вирусов, которых очень сложно обнаружить.

В основе работы Stealth-вирусов лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. При возникновении прерывания управление передается специальной программе – обработчику прерывания. Эта программа отвечает за ввод и вывод информации в/из периферийного устройства.

В такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

В случае, если с диска читается зараженная программа, вирус “выкусывает” собственный код (обычно код не буквально ”выкусывается”, а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения “чистый” код. Таким образом, до тех пор пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно. Схожий механизм маскировки используется и загрузочными вирусами.

Известны стелс-вирусы всех типов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.

Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Основная идея заключается в том, что несмотря на то, что файл заражен, в оперативную память передаются данные незараженного файла (предварительно вылеченного самим вирусом).

Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.

Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro. Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.

К наиболее известным Stealth-вирусам можно отнести такие вирусы, как Exploit.Macro.Stealth, Exploit.MSWord.Stealth, Virus.DOS.Stealth.551.

В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с win32 антивирусными приложениями запустить их не удастся).

Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100-процентной точностью будет обнаружен и удален из памяти компьютера, а потом – и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом – как можно чаще обновлять версии программы и вирусные базы. Для удобства пользователей базы вынесены в отдельный модуль, и, например, пользователи AVP могут обновлять эти базы ежедневно при помощи Интернета.

Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Содержание

Виды Stealth-вирусов

Файловый вирус перехватывает функции чтения/установки позиции в файле, чтения/записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера зараженных программ; перехватывает функции чтения/записи/отображения файла в память, чтобы скрыть факт изменения файла.

Макровирусы. Реализовать стелс-алгоритм в макровирусах достаточно просто, нужно запретить вызов меню File/Templase или Tools/Macro, достичь этого можно удалением пунктов меню из списка либо их подменой на макросы File Templase и Tools Macro. Также стелс-вирусами можно назвать макровирусы, которые свой основной код хранят не в самом макросе, а в других областях документа.

Способы борьбы со Stealth-вирусами

Для поиска stealth-вирусов рекомендуется осуществить загрузку системы с гибкого диска и провести удаление вирусных программ.

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным. Главное в борьбе с вирусами как можно чаще обновлять версии программы и вирусные базы.

См. также

Ссылки

  • Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.

Wikimedia Foundation . 2010 .

Полезное

Смотреть что такое "Стелс-вирус" в других словарях:

Стелс — (англ. Stealth): Стелс технология техника и технология изготовления летательных аппаратов, военных кораблей и ракет с целью снижения их заметности в радиолокационном, инфракрасном и других областях спектра обнаружения. Стелс вирус… … Википедия

Вирус (компьютерный) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Деструктивный вирус — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Компьютерный вирус — Начало исходного кода примитивного вируса для MS DOS на языке ассемблера … Википедия

Stealth — Стелс (англ. Stealth): Стелс технология техника и технология изготовления летательных аппаратов, военных кораблей и ракет с целью снижения их заметности в радиолокационном, инфракрасном и других областях спектра обнаружения. Стелс (самолёт)… … Википедия

Вирусы (компьютерные) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Компьютерные вирусы — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Полиморфизм компьютерных вирусов — У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

История компьютерных вирусов — Содержание 1 Первые самовоспроизводящиеся программы 2 Первые вирусы 2.1 ELK CLONER … Википедия

Deus Ex — Изображение с обложки игры Разработчик Ion Storm Inc. Издатель … Википедия

Фото: Shutterstock

Фото:Arshad Arbab / EPA / ТАСС

Многие мутации, обнаруженные в сублинии BA.2, совпадают с мутациями варианта BA.1. Однако стелс-вариант обладает восемью уникальными мутациями спайк-протеина — белка оболочки коронавируса, с которыми может быть связана его более высокая трансмиссивность.

Фото:Hannah Beier / Reuters

  • кашель;
  • насморк;
  • боль в горле;
  • быстрая утомляемость / чувство усталости;
  • головокружение;
  • боль в мышцах;
  • головная боль;
  • лихорадка;
  • чихание.

Проявления заболевания, связанные с желудочно-кишечным трактом, такие как тошнота, рвота и диарея, также могут сопровождать омикрон-штамм. Потеря вкуса и обоняния встречается реже, чем при заражении другими штаммами. Эксперты считают усталость и головокружение ключевыми маркерами заражения омикрон-штаммом.

Необходимо помнить, что перечисленные симптомы могут сопровождать как другие штаммы коронавируса, так и некоторые вирусные и бактериальные заболевания. Если вы почувствовали себя плохо, лучше обратиться к врачу и не пытаться диагностировать у себя болезнь самостоятельно.

Основные проявления постковидного синдрома у взрослых:

  • утомляемость;
  • одышка;
  • кашель;
  • проблемы со сном;
  • выпадение волос;
  • когнитивные нарушения: проблемы с концентрацией, памятью;
  • проблемы с пищеварением;
  • сердечно-сосудистые нарушения.

Фото:Dan Mullan / Getty Images

Одно из самых серьезных постковидных осложнений — связанный с COVID-19 мультисистемный воспалительный синдром у детей и подростков. Заболевание проявляется лихорадкой, поражениями сердца и коронарных артерий, нарушениями свертываемости крови, конъюнктивитом, желудочно-кишечными симптомами: рвотой, диареей, болями в животе. Для лечения мультисистемного воспалительного синдрома используют кислородную и медикаментозную терапию глюкокортикостероидами, препаратами моноклональных антител, антикоагулянтами и так далее.

Конкретных данных о риске развития постковидных осложнений после перенесенного омикрон-штамма и его сублиний пока нет. Несмотря на то, что омикрон-штамм переносится легче предыдущих вариантов, эксперты утверждают, что он все еще может вызывать серьезные постковидные симптомы. По данным из доклада Европейского центра по контролю и профилактике заболеваний (ECDC) от 27 января 2022 года, высокий уровень распространения штамма может спровоцировать рост заболеваемости постковидным синдромом, особенно среди невакцинированных людей.

СпецНаз (специальные названия)

Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!

Кобаяси Исса (перевод В. Марковой)

Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.

Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).

При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!

Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.

Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.

Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.

Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

  • затруднение обнаружения вируса в оперативной памяти
  • затруднение трассировки и дизассемблирования вируса
  • маскировку процесса заражения
  • затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Как же предлагается бороться с такой напастью?

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.

Вы помните, кто такие антивирусы-полифаги? :-)

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

  • программы-детекторы;
  • программы-доктора, или фаги;
  • программы-ревизоры;
  • программы-фильтры;
  • программы-вакцины, или иммунизаторы.

Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!

Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:

  • Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
  • Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
  • Макровирусы.

Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.

Антивирусная правДА! рекомендует

Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.

Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!

Оцените выпуск

Сделайте репост

[ВКонтакте]
[Twitter]

Нам важно ваше мнение

Комментарии пользователей


Sergey
19:36:22 2020-03-19

@alex-diesel, Ну кому-то интересна же история. Стелс-вирусы конечно прошлое, но ностальгия одновременно
А по поводу актуализации всякой нормативки - я то с вами согласен, но увы все время изобретаются все новые и новые искусственные документы

@Вячeслaв, вот именно! Ну зачем пользователю такие формальные подробности и классификации угроз. Если они даже профессионалами воспринимаются лишь как досадные бюрократические атавизмы.

А на счет больше знать лучше чем меньше (а свобода лучше, чем несвобода) так дьявол, как водится, в деталях.
Объем доступной информации возрос непомерно. банально увеличивать формальные познания индивидуума - безперспективно. Перспективно имхо разрабатывать новые методики систематизации знаний, структурирования, отсева избыточного.
Я искренне поддерживаю и даже немного восхищаюсь усилиями команды DrWeb по развитию подобных образовательных, развивающих и "популяризующих" проектов. тем обиднее мне представляются некоторые мелкие недостатки. Прошу пардону ))

@alex-diesel, все даже интереснее. Если посмотреть документы по оценке рисков, то согласно им нужно оценить риск от каждого вида угроз по отдельности - вирусов, троянов, червей и тд по списку. Никакого смысла это не имеет, так как оценивай-не оценивай, какие уровни риска не считай - все равно придется ставить антивирус, так как его установка по большому счету обязательна. Но низзя - нужно оформить документы по правилам

А знания о древних вещах. Вы знаете, лучше знать больше, чем меньше. К сожалению люди, которые не хотят знать больше и думают, что ни лучше нас знают - рано или поздно оказываются в техподдержке

любопытная ситуация с этим выпуском. Вроде содержательно, подробно и интересно. Много условно новой информации и занятной терминологии. Но вот ей богу, каков практический прок от знания пользователем основных черт "стелс-вирусов" - абсолютно не ясно.

@Littlefish,
безусловно не все выпуски равноценны. но мне кажется, что лучше будет если используя механизм виджет Добавить в библиотеку или сервис Избранное каждый читатель после прочтения будет решать сам что ему важно. Выпусков в такой рубрике - если бы мы ее сделали - был бы огромен.


Littlefish
01:14:13 2017-06-20

@Людмила, @Вячeслaв, Возможно ли формирование ещё одной рубрики выпусков - выпуски рекомендованные к прочтению в первую очередь, т.е. те выпуски в которых описываются наиболее частые, распространённые и серьёзные угрозы для пользователей недавно/впервые зарегистрировавшихся, для начинающих пользователей. Т.е. на что необходимо обратить внимание в первую очередь для повышения грамотности в отношении компьютерной безопасности. Всё-таки выпусков немало и глаза разбегаются, что же почитать сначала, а что позднее, особенно для новичков. Как вы на это смотрите?


Вячeслaв
10:40:22 2017-06-19

@Littlefish, более того, показываемая в менеджере процессов используемая память не отражает истинного количества используемых ресурсов. Скажем антивирус может использовать память, запрашивая ее на уровне драйверов - и эти используемые ресурсы не отображаются никак.
Пожелание о добавлении в наши программы утилит различного назначения есть, но руки до этого не доходят


Вячeслaв
10:34:45 2017-06-19

@Littlefish, карантин это достаточно просто для Windows и очень сложно для Linux, Mac и Андроид. Идея проста - перемешаем файл и не даем доступа к ним никому. Для Windows защиту от доступа осуществляет система самозащиты. Та проблема только в том, что защиту нужно сделать тогда, когда самозащита отключена. Поэтому файлы скрываются.
Для Юникс-подобных ОС проблема в невозможности создания системы самозащиты. Там к сожалению изолировать карантин очень сложно


Littlefish
22:12:53 2017-06-18

@Людмила, @Вячeслaв, появилась также идея для будущего выпуска антивирусной правды, для раздела кухня - о принципах работы карантина. Прошу прощения, если уже писали об этом, стараюсь постепенно читать предыдущие выпуски антивирусной правды, но, чтобы прочитать все предыдущие выпуски, мне потребуется какое-то время. Хотя повторение материала ещё никогда никому не вредило, так что даже если и был уже выпуск про карантин, можно сделать ещё один, дополненный свежим взглядом и данными.


Littlefish
21:52:02 2017-06-18

ka_s
23:40:13 2017-05-16

В свое время загрузочные стелс вирусы доставили много хлопот. Особенно неуютно чувствовали себя те, у кого не было "лечащих" загрузочных дискет.

Читайте также: