«Стелс», но не бомбардировщик
14 марта 2017
Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!
Кобаяси Исса (перевод В. Марковой)
Жили-были стелс-вирусы (англ. stealth virus — вирус-невидимка)… Было это давно – в эпоху операционной системы DOS. Стелс-вирусы и их наследники прожили бурную жизнь и явили миру множество своих ярких представителей. Но… пали под натиском вирусного «ширпотреба». Вспомним все!
Прежде чем говорить о представителях данного класса вирусов, заглянем под «капот» операционных систем.
Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.
Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).
При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!
Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.
Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.
Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.
Именно поэтому фильтр (драйвер) антивируса должен «сидеть» как можно ниже по иерархии – в противном случае вирус отфильтрует информацию, и антивирус не сможет узнать о наличии вредоносного файла.
Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Так называемая Стелс-технология может включать в себя:
- затруднение обнаружения вируса в оперативной памяти
- затруднение трассировки и дизассемблирования вируса
- маскировку процесса заражения
- затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)
Как же предлагается бороться с такой напастью?
Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.
Вы помните, кто такие антивирусы-полифаги? :-)
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
- программы-детекторы;
- программы-доктора, или фаги;
- программы-ревизоры;
- программы-фильтры;
- программы-вакцины, или иммунизаторы.
Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!
Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:
- Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
- Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
- Макровирусы.
Почитаем архивные новости?
RCE-04096 был разработан в Израиле в конце 1989 г. Название «Фродо» связано с тем, что вирус содержит бут-сектор в своем коде, хотя он никогда не записывает свое тело в бут-сектор. При записи этого бут-сектора в бут-сектор дискеты и попытке загрузки выдается «плакатный текст».
FRODO LIVES («Фродо живет» или «Фродо жив»), выполненный буквами 8*5, состоящими из символов псевдографики. По данным П.Хоффман, 22 сентября - это день рождения героев известной сказочной трилогии Дж.Р.Толкиена «Властелин колец» (Lord Of The Rings) - Бильбо и Фродо Бэггинсов (Bilbo and Frodo Baggins).
Все авторы публикаций, включающих описание данного вируса, сходятся в том, что вирус написан техно-крысой, хорошо знающей «внутренности» операционной системы и алгоритмы работы антивирусных программ.
Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.
http://stfw.ru/page.php?id=9247
http://stfw.ru/page.php?id=9250
Вы не знаете, кто такие техно-крысы? Читайте следующие выпуски проекта «Антивирусная правДА!».
#вирус #антивирус #терминологияАнтивирусная правДА! рекомендует
Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.
Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
19:36:22 2020-03-19
Денисенко Павел Андреевич
16:42:13 2018-08-03
Toma
12:39:11 2018-07-31
Вячeслaв
12:02:27 2018-04-05
А по поводу актуализации всякой нормативки - я то с вами согласен, но увы все время изобретаются все новые и новые искусственные документы
alex-diesel
11:34:52 2018-04-05
alex-diesel
11:32:44 2018-04-05
А на счет больше знать лучше чем меньше (а свобода лучше, чем несвобода) так дьявол, как водится, в деталях.
Объем доступной информации возрос непомерно. банально увеличивать формальные познания индивидуума - безперспективно. Перспективно имхо разрабатывать новые методики систематизации знаний, структурирования, отсева избыточного.
Я искренне поддерживаю и даже немного восхищаюсь усилиями команды DrWeb по развитию подобных образовательных, развивающих и "популяризующих" проектов. тем обиднее мне представляются некоторые мелкие недостатки. Прошу пардону ))
Вячeслaв
10:09:51 2018-04-04
А знания о древних вещах... Вы знаете, лучше знать больше, чем меньше. К сожалению люди, которые не хотят знать больше и думают, что ни лучше нас знают - рано или поздно оказываются в техподдержке
alex-diesel
09:52:17 2018-04-04
vasvet
09:07:01 2018-04-04
Людмила
09:01:03 2018-03-21
безусловно не все выпуски равноценны. но мне кажется, что лучше будет если используя механизм виджет Добавить в библиотеку или сервис Избранное каждый читатель после прочтения будет решать сам что ему важно. Выпусков в такой рубрике - если бы мы ее сделали - был бы огромен...
Littlefish
01:14:13 2017-06-20
Вячeслaв
10:40:22 2017-06-19
Пожелание о добавлении в наши программы утилит различного назначения есть, но руки до этого не доходят
Вячeслaв
10:34:45 2017-06-19
Для Юникс-подобных ОС проблема в невозможности создания системы самозащиты. Там к сожалению изолировать карантин очень сложно
Littlefish
22:12:53 2017-06-18
Littlefish
21:52:02 2017-06-18
@Людмила, @Вячeслaв, как Вы смотрите на предложение, о добавлении в функционал Dr.Web Security Space аналога диспетчера задач Wndows, с отображением всех процессов, запущенных в системе и возможностью отправить файлы подозрительных процессов на анализ в лабораторию Доктора Веба, учитывая, что фильтр (драйвер) антивируса должен «сидеть» как можно ниже по иерархии и таким образом, больше шансов, что будут видны вредоносные процессы, которые не видны в других системных утилитах, из-за возможности фильтрации вирусом. Попутно есть второе предложение: упрощение отправки подозрительных файлов в лабораторию Dr.Web - добавление в контекстное меню (при щелчке правой кнопкой мыши на файле) рядом с Проверить Dr.Web - отправить файл для анализа. Как вариант, вместо отправить файл, в контекстное меню можно добавить - поместить файл в карантин, а вот уже из карантина отправлять файл для анализа (по идее, так даже безопаснее будет, т.к. насколько я понимаю, вредоносные программы помещённые в карантин, становятся "неактивными", у них убирается расширение файла после точки, с сохранением информации какое оно было, и соответственно меньше шансов заразить сервер компании Dr.Web на который присылаются подозрительные файлы для анализа, потому, что присылаться подозрительные файлы будут в неактивном состоянии).
ka_s
23:40:13 2017-05-16
Natalya_2017
15:11:48 2017-03-30
Роза
17:31:49 2017-03-16
М...ч
14:08:17 2017-03-15
a13x
04:34:50 2017-03-15
Неуёмный Обыватель
00:53:39 2017-03-15
razgen
00:39:35 2017-03-15
Дмитpий
23:58:46 2017-03-14
Marsn77
23:31:29 2017-03-14
razgen
23:08:25 2017-03-14
vaki
23:03:24 2017-03-14
Неуёмный Обыватель
22:29:44 2017-03-14
orw_mikle
21:31:16 2017-03-14
mariana
20:49:12 2017-03-14
kva-kva
20:34:44 2017-03-14
razgen
20:29:45 2017-03-14
mk.insta
19:24:53 2017-03-14
razgen
19:23:40 2017-03-14
Dr.Web - Официальный антивирус этого мероприятия.
Поздравляю компанию "Доктор Веб"!
Геральт
19:02:42 2017-03-14
Heisenberg
19:00:56 2017-03-14
Влад
18:43:02 2017-03-14
Sapfir
18:35:51 2017-03-14
Неуёмный Обыватель
18:30:26 2017-03-14
iAFC
17:49:49 2017-03-14
forrus
17:48:01 2017-03-14
Шалтай Александр Болтай
16:32:44 2017-03-14
GREII
16:07:26 2017-03-14
iiwanc
15:53:53 2017-03-14
nicoly
14:12:49 2017-03-14
Hazal
13:41:13 2017-03-14
hadach
13:18:44 2017-03-14
chicer
13:13:34 2017-03-14
Пaвeл
12:55:16 2017-03-14
Леонид
12:31:47 2017-03-14
Любитель пляжного футбола
12:19:32 2017-03-14