Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (21)
  • добавить в избранное
    Добавить в закладки

«Стелс», но не бомбардировщик

Прочитали: 2192 Комментариев: 132 Рейтинг: 279

Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!

Кобаяси Исса (перевод В. Марковой)

Жили-были стелс-вирусы (англ. stealth virus — вирус-невидимка)… Было это давно – в эпоху операционной системы DOS. Стелс-вирусы и их наследники прожили бурную жизнь и явили миру множество своих ярких представителей. Но… пали под натиском вирусного «ширпотреба». Вспомним все!

Прежде чем говорить о представителях данного класса вирусов, заглянем под «капот» операционных систем.

Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.

Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).

При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!

Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.

Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.

Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.

Именно поэтому фильтр (драйвер) антивируса должен «сидеть» как можно ниже по иерархии – в противном случае вирус отфильтрует информацию, и антивирус не сможет узнать о наличии вредоносного файла.

Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

  • затруднение обнаружения вируса в оперативной памяти
  • затруднение трассировки и дизассемблирования вируса
  • маскировку процесса заражения
  • затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

Из Базы знаний «Доктор Веб»

Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

https://ru.wikipedia.org/wiki/Стелс-вирус

Как же предлагается бороться с такой напастью?

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.

Вы помните, кто такие антивирусы-полифаги? :-)

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

  • программы-детекторы;
  • программы-доктора, или фаги;
  • программы-ревизоры;
  • программы-фильтры;
  • программы-вакцины, или иммунизаторы.

Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!

Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:

  • Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
  • Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
  • Макровирусы.

Почитаем архивные новости?

RCE-04096 был разработан в Израиле в конце 1989 г. Название «Фродо» связано с тем, что вирус содержит бут-сектор в своем коде, хотя он никогда не записывает свое тело в бут-сектор. При записи этого бут-сектора в бут-сектор дискеты и попытке загрузки выдается «плакатный текст».

FRODO LIVES («Фродо живет» или «Фродо жив»), выполненный буквами 8*5, состоящими из символов псевдографики. По данным П.Хоффман, 22 сентября - это день рождения героев известной сказочной трилогии Дж.Р.Толкиена «Властелин колец» (Lord Of The Rings) - Бильбо и Фродо Бэггинсов (Bilbo and Frodo Baggins).

Все авторы публикаций, включающих описание данного вируса, сходятся в том, что вирус написан техно-крысой, хорошо знающей «внутренности» операционной системы и алгоритмы работы антивирусных программ.

Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.

http://stfw.ru/page.php?id=9247
http://stfw.ru/page.php?id=9250

Вы не знаете, кто такие техно-крысы? Читайте следующие выпуски проекта «Антивирусная правДА!».

#вирус #антивирус #терминология

Dr.Web рекомендует

Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.

Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: